Sistema de hotéis ficou com dados expostos na web

Paulo Brito
19/09/2018
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um sistema brasileiro de reserva de hotelaria esteve vulnerável na Internet, com exposição potencial dos dados de quase meio milhão de reservas, contendo informações de pessoas e de cartões de crédito. O sistema é o HSystem, de Santa Catarina, e o problema foi descoberto pelo pesquisador de segurança Bob Diachenko, que o revelou em sua conta no Twitter. Ao descobrir o problema, o pesquisador Bob Diachenko fez contato com a empresa pela conta dela no Twitter mas não obteve resposta.

O Cisoadvisor viu a publicação de Diachenko e conseguiu entrar em contato com a HSystem por meio da ACATE, a Associação Catarinense de Tecnologia, da qual a HSystem é associada. Com esse aviso, um desenvolvedor da HSystem ligou para a redação e recebeu as informações. O problema foi corrigido pela empresa logo após ter sito avisada pelo Cibersecurity, conforme informou Diachenko no Twitter.

Diachenko publicou em sua conta no Twitter apenas a estrutura do banco de dados, sem amostra dos 435 mil registros. Desse modo, não é possível saber se eles estavam em texto aberto ou criptografados. A criptografia não é usual no Brasil por enquanto – não só por causa do custo das soluções de criptografia, como por causa da degradação do desempenho dos sistemas.

A estrutura da tabela indica que em cada registro havia dados suficientes para uma reserva, incluido-se aí os números e todos os detalhes de cartões de crédito, e todos os dados da pessoa que fez a reserva. O Cisoadvisor solicitou por e-mail uma entrevista à diretoria da HSystem mas não houve resposta.

Além da plataforma de reservas online, a HSystem oferece todos os recursos para que a rede hoteleira se conecte às plataformas de reservas no mundo inteiro, tais como Trivago e AirBnb.

Embora a vulnerabilidade ja tenha sido corrigida, conforme confirmou Diachenko, é possível que os registros tenham sido copiados por cibercriminosos com o interesse de colocá-los à venda.

 

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest