By Themistoklis Giannakopoulos & Lydia Kakourou

This Flash News discusses the findings of the company Website Planet according to which personal data of millions of hotel guests were exposed due to a hotel booking company leak resulting in a serious data breach.

Below you may find the full article in Greek

Παραβίαση δεδομένων προσωπικού χαρακτήρα από την εταιρεία Prestige Software

Των Θεμιστοκλή Γιαννακόπουλου & Λυδία Κακούρου 

Ιστορικό παραβίασης

Η ομάδα προγραμματιστών της εταιρείας Website Planet αποκάλυψε πρόσφατα, κατόπιν σχετικής διερεύνησης, ότι το σύστημα κράτησης ξενοδοχείων της εταιρείας Prestige Software εξέθεσε τα προσωπικά δεδομένα εκατομμυρίων επισκεπτών ξενοδοχείων αλλά και ταξιδιωτικών πρακτορείων σε όλο τον κόσμο, συμπεριλαμβανομένων, σε πολλές περιπτώσεις, των στοιχείων της πιστωτικής κάρτας των επισκεπτών.

Ειδικότερα, ένα σφάλμα προγραμματισμού από την εταιρεία παροχής υπηρεσιών λογισμικού στον ξενοδοχειακό κλάδο  Prestige Software, που εδρεύει στην Ισπανία, είχε ως αποτέλεσμα να καταστεί προσβάσιμη βάση δεδομένων επισκεπτών ξενοδοχείων, που περιείχε πάνω από 10 εκατομμύρια μεμονωμένα αρχεία, στην υπηρεσία cloud αποθήκευσης Amazon Web Services S3.

Σύμφωνα δε με την Website Planet, ο συνολικός αριθμός των επηρεαζόμενων φυσικών προσώπων είναι ενδεχομένως ακόμα μεγαλύτερος δεδομένου ότι σε πολλές περιπτώσεις ένα αρχείο καταγραφής περιελάμβανε τα προσωπικά δεδομένα περισσοτέρων φυσικών προσώπων (π.χ. μελών μιας οικογένειας) για μια μεμονωμένη κράτηση ή περιείχε τροποποιήσεις και ακυρώσεις.

Τα προσωπικά δεδομένα των επισκεπτών ξενοδοχείων που κατέστησαν προσβάσιμα ήταν, μεταξύ άλλων, ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, τηλεφωνικοί αριθμοί, εθνικοί αριθμοί ταυτότητας, στοιχεία πληρωμής πιστωτικής κάρτας, στοιχεία κράτησης ξενοδοχείου (αριθμός επισκεπτών, αριθμός διανυκτερεύσεων, κλπ).

Η εν λόγω παραβίαση προσωπικών δεδομένων, με τη μορφή της τυχαίας κοινολόγησης, ξεκίνησε το 2013 και διαπιστώθηκε επτά χρόνια μετά, τον Νοέμβριο του 2020 από την Website Planet. Η τελευταία επικοινώνησε άμεσα με την  Prestige Software, η οποία προέβη στις απαραίτητες διορθωτικές ενέργειες για τον τερματισμό της παραβίασης που κατέστη εφικτός μια μέρα μετά την εν λόγω επικοινωνία.

Η εν λόγω παραβίαση είναι ιδιαίτερα σοβαρή αν ληφθούν υπόψη ο αριθμός των επηρεαζόμενων φυσικών προσώπων, ο όγκος των προσωπικών δεδομένων, η διάρκεια της παραβίασης, το γεγονός ότι επηρεάστηκαν κάποια από τα μεγαλύτερα websites κράτησης ξενοδοχείων στον κόσμο (π.χ. Amadeus, Agoda, Expedia, Booking com κ.α.) αλλά και οι επιπτώσεις της παραβίασης στα επηρεαζόμενα φυσικά πρόσωπα, όπως η πιθανή χρησιμοποίηση από κυβερνοεγκληματίες των στοιχείων της πιστωτικής κάρτας των επισκεπτών των ξενοδοχείων για απάτη μέσω διαδικτύου, υποκλοπή ταυτότητας, αγορά ξενοδοχειακών υπηρεσιών, εγκατάσταση κακόβουλου λογισμικού, κυβερνοεπιθέσεις και άλλα ηλεκτρονικά εγκλήματα.

Το συγκεκριμένο περιστατικό παραβίασης αναμένεται να έχει σοβαρές αρνητικές συνέπειες τόσο στη φήμη όσο και στην οικονομική κατάσταση της Prestige Software ενώ είναι εξαιρετικά πιθανό, λαμβανομένης υπόψη της ιδιαίτερης σοβαρότητάς του, να διερευνηθεί περαιτέρω και σε βάθος από την Ισπανική αρχή προστασίας δεδομένων με όλες τις νομικές συνέπειες που αυτό συνεπάγεται, συμπεριλαμβανομένης της επιβολής σημαντικού προστίμου.

Οι υπεύθυνο επεξεργασίας συμμορφούμενοι με τις υποχρεώσεις τους που απορρέουν από τον GDPR και γενικότερα από το ισχύον κατά περίπτωση νομικό πλαίσιο, να λαμβάνουν όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα με στόχο την αποτροπή περιστατικών παραβίασης προσωπικών δεδομένων. Το κόστος συμμόρφωσης αποδεικνύεται σημαντικά χαμηλότερο από το κόστος που συνεπάγεται μια παραβίαση προσωπικών δεδομένων (πρόστιμα, απώλειες πελατείας και εσόδων, ομαδικές αγωγές αποζημίωση, κλπ).