Proveedores y datos financieros: una peligrosa combinación, a veces

Hace pocos días, concretamente el pasado viernes, 6 de noviembre, la página web de HackRead se hacía eco de la exposición de los datos manejados por una empresa con sede en Barcelona, Prestige Software, y pertenecientes a clientes de los principales gigantes de la industria de las reservas en línea, a través de su plataforma de gestión de canales llamada Cloud Hospitality, que incluye a los hoteles que gestionan y automatizan la disponibilidad de habitaciones en los principales sitios de reservas.
Entre las empresas afectadas estarían no sólo Booking.com y Expedia, sino también Agoda, Amadeus, Hotels.com, Hotelbeds, Omnibees, Sabre y otros.
Esta brecha ha sido descubierta por investigadores de Website Planet al descubrir que un bucket (cubo) del servicio S3 de Amazon Web Services (AWS) mal configurado, propiedad de Prestige Software, quedó expuesto al acceso público sin ningún tipo de control de acceso al mismo, por lo que no había ninguna medida de seguridad que protegiera los datos almacenados en esta base de datos.
Aunque se ha dado una cifra de 24 GB de datos en 10 millones de registros, los propios investigadores han indicado que sólo han analizado una parte de los datos expuestos y que el volumen de estos y las empresas propietarias podría ser mayor.
En cuanto a los clientes afectados, no está claro si sus datos fueron accedidos por terceros con intención maliciosa. Sin embargo, han quedado expuestos los siguientes datos:
  • Nombres completos
  • Los números del NIC
  • Direcciones de correo electrónico
  • Números de teléfono
  • Número de reserva del hotel
  • Fecha y duración de la estancia
  • Números de la tarjeta de crédito, nombre del propietario, código CVV y fecha de caducidad.
Sin embargo, es preocupante que las actividades de estos cibercriminales en relación a la búsqueda de sistemas con datos valiosos y no protegidos siga tan activa. De ello dan muestra los datos personales y los números de teléfono de 42 millones de iraníes que fueron expuestos en un servidor mal configurado y que aparecieron poco después en la dark web. O los datos personales de 297 millones de usuarios de Facebook debido a una base de datos mal configurada, como en este caso, y que acabaron a la venta en un foro de hackers.
La protección de los datos y sus consecuencias
Dado que la problemática radica en que el Responsable del tratamiento de datos (que, recordemos, es siempre el dueño de los datos, es decir, las compañías que los recogen) ha delegado esta función en un Encargado de tratamiento, a través de un contrato tipo para la realización de esta función, cediéndole los datos de sus clientes,  la existencia de la brecha antes detallada indica que las responsabilidades más importantes del contrato entre las distintas empresas de reserva y Prestige Software no se ha cumplido. A saber, según se especifica en el contrato tipo disponible en la AEPD:
“En todo caso, (el encargado de tratamiento) deberá implantar mecanismos para:
  1. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  2. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
  3. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
  4. Seudonimizar y cifrar los datos personales, en su caso”
Aparte de lo dicho anteriormente, la compañía que gestiona esta base de datos debe informar de la infracción bien a la AEPD o a los usuarios, si bien en este último caso, como el que nos ocupa, será debido a la gravedad de la brecha y las consecuencias de ésta. Así como asegurar que no haya más vulnerabilidades en sus sistemas.
De hecho, la propia web de Prestige Software (que, por cierto, no utiliza HTTPS para securizar el acceso a sus contenidos) no hace referencia alguna a la brecha detectada.
El responsable también ha de asumir sus propias, y valga la redundancia, responsabilidades, ya que, según se indica en el mismo contrato tipo:
“Corresponde al responsable del tratamiento:
  1. Entregar al encargado los datos a los que se refiere la cláusula 2 de este documento.
  2. Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.
  3. Realizar las consultas previas que corresponda.
  4. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
  5. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
Las consecuencias de la falta de medidas técnicas y organizativas para garantizar la seguridad de la información, puede conllevar las mayores multas, como las siguientes:
 - British Airways:               +204,5 millones €
 - Marriot UK:                        110 millones €

 

El Punto de vista de LEET
Habrá que ver cuales son las cláusulas reales del contrato de encargado de tratamiento entre las partes en lo que se refiere a las consecuencias del incumplimiento de las medidas a las que obliga la RGPD, pero lo que es seguro es que, de no haberlas, las consecuencias son, principalmente, para la empresa responsable del tratamiento por no cumplir con lo que, a efectos de protección de datos personales, es su diligencia debida: contratar proveedores que ofrezcan las garantías que se indican en la ley y, como consecuencia de ello,  auditarlos para saber que se están cumpliendo dichas garantías: controlar a tus proveedores, en definitiva.
En este último caso es donde la labor de LEET Security, de evaluación y medición de la madurez de las medidas de seguridad que han de ponerse en marcha para la protección en el mundo cloud de los datos de los clientes se hace necesaria y en la que ponemos más énfasis.
Nuestros servicios ayudan a valorar los controles implantados con el fin de cumplir con el requisito, tanto el responsable como el encargado de tratamiento de datos debe cumplir: velar por la confidencialidad, integridad y disponibilidad de los datos de sus clientes.
Nuestros servicios ayudan a nuestros clientes a evaluar la idoneidad de los controles y conocer en detalle qué medidas se están poniendo en marcha, de manera que se eviten las circunstancias que han llevado a la posible divulgación de los datos de los clientes de estos servicios.
De verdad, All you need is LEET!

Recibe nuestras notificaciones desde este enlace