Um sistema brasileiro de reserva de hotelaria esteve vulnerável na Internet, com exposição potencial dos dados de quase meio milhão de reservas, contendo informações de pessoas e de cartões de crédito. O sistema é o HSystem, de Santa Catarina, e o problema foi descoberto pelo pesquisador de segurança Bob Diachenko, que o revelou em sua conta no Twitter. Ao descobrir o problema, o pesquisador Bob Diachenko fez contato com a empresa pela conta dela no Twitter mas não obteve resposta.
O Cisoadvisor viu a publicação de Diachenko e conseguiu entrar em contato com a HSystem por meio da ACATE, a Associação Catarinense de Tecnologia, da qual a HSystem é associada. Com esse aviso, um desenvolvedor da HSystem ligou para a redação e recebeu as informações. O problema foi corrigido pela empresa logo após ter sito avisada pelo Cibersecurity, conforme informou Diachenko no Twitter.
Diachenko publicou em sua conta no Twitter apenas a estrutura do banco de dados, sem amostra dos 435 mil registros. Desse modo, não é possível saber se eles estavam em texto aberto ou criptografados. A criptografia não é usual no Brasil por enquanto – não só por causa do custo das soluções de criptografia, como por causa da degradação do desempenho dos sistemas.
A estrutura da tabela indica que em cada registro havia dados suficientes para uma reserva, incluido-se aí os números e todos os detalhes de cartões de crédito, e todos os dados da pessoa que fez a reserva. O Cisoadvisor solicitou por e-mail uma entrevista à diretoria da HSystem mas não houve resposta.
Além da plataforma de reservas online, a HSystem oferece todos os recursos para que a rede hoteleira se conecte às plataformas de reservas no mundo inteiro, tais como Trivago e AirBnb.
Embora a vulnerabilidade ja tenha sido corrigida, conforme confirmou Diachenko, é possível que os registros tenham sido copiados por cibercriminosos com o interesse de colocá-los à venda.
