Aavgo安全失效暴露酒店预订和客人的个人信息

 
Aavgo酒店管理创业公司的安检失误暴露了酒店预订和客人的个人信息。
在TechCrunch与位于旧金山的酒店技术公司Aavgo达成协议之后，周一安全失效得到了解决，该公司在没有密码的情况下获得了一台离线的服务器。
服务器开放了三个星期 – 足以让安全研究员Daniel Brown找到数据库。
他专门与TechCrunch分享了他的发现，然后发表了他们。
Aavgo将自己定位为酒店通过使用多个连接应用程序来组织其运营的一种方式 – 一个供客人使用安装在酒店房间中的平板电脑进行娱乐，订购客房服务和结账，另一个供员工互相沟通，文件维护票据和管理家务。
几家大型连锁酒店，包括Holiday Inn Express和Zenique Hotels，在其酒店中使用Aavgo的技术。
该数据库包含后端计算机系统的每日更新日志。虽然大多数记录都是对系统运行至关重要的计算机命令日志，但我们在个人预订数据中找到了 – 包括姓名，电子邮件地址，电话号码，房间类型，价格，酒店位置以及房间和日期和登记入住和退房的时间。
除信用卡发卡机构外，数据库中没有任何财务信息。
研究人员说，该数据库还包含客房服务订单，客人投诉，发票和用于访问Aavgo系统的其他敏感信息。
许多记录都与其公司酒店客户有关。
其中一位客户包括Guestline，一家酒店经营者的物业管理公司，在两家酒店使用Aavgo。 Guestline每年预订630万次。
到达时，Guestline的数据保护官James Padkin表示，数据保护“至关重要”，该公司已“停止了我们对AavGo家政应用程序的非常有限的试用”。
在公司未能回复研究人员的初始电子邮件后，Aavgo在TechCrunch与其首席执行官Mrunal Desai联系几小时后关闭了数据库。
“我们没有数据泄露;但是，我们确实发现了一个漏洞，“德赛说。他说有300间酒店房间的数据曝光。布朗说，根据他对数据的评论，这个数字可能更高。 Desai补充说，该公司“已经开始向我们的客户通报此漏洞。”
在我们的通信中途，德赛抄袭了该公司的外部法律顾问，这是一家总部位于德克萨斯州的律师事务所，该律师事务所在发布本报告之前威胁要“立即采取法律行动”。
Aavgo成为最近几年卷入酒店相关安全事件的最新酒店公司。
2017年，酒店预订服务Sabre证实，其SynXis预订系统长达7个月的数据泄露事件，影响了全球超过36,000家酒店和数百万张信用卡。
一年后，万豪旗下的喜达屋承认了一项违规事件，影响了全球3.83亿酒店客人。本月早些时候，英国当局表示，他们将根据新的GDPR制度对公司罚款1.23亿美元，该制度影响了欧盟约3000万客户。
更新以澄清Guestline对Aavgo的使用仅限于两​​家酒店和使用的众多技术之一。