Une nouvelle fuite de données massive fait la une de l’actualité cette semaine. En raison d’un serveur mal paramétré d’une filiale du groupe AccorHotels, les données de plus de 100 000 voyageurs ont été librement accessibles. L’incident a été signalé à la CNIL, autorisée à prendre des sanctions.
Gekko Group est une plateforme professionnelle de réservation d’hôtels. Elle appartient au géant hôtelier Accor. C’est cette filiale du groupe qui a été victime d’une vaste fuite de données. La porte-parole de l’entreprise a indiqué que 130 000 à 140 000 voyageurs sont concernés. Il s’agit notamment d’identifiants et de coordonnées bancaires.
Des volumes importants de données exposés
L’entreprise Gekko a été rachetée par Accor en octobre 2017 et revendique travailler avec près de 14 000 agences de voyages dans 9 pays. D’après vpnMentor, la société de sécurité informatique qui a découvert la faille, la base de données concernée par la fuite contenait « des volumes importants d’informations venant de sources extérieures », dont la plateforme booking.com.
« Nous avons pris connaissance de l’incident le 13 novembre », a-t-on déclaré chez Gekko Group. La filiale du groupe hôtelier a également affirmé que la fuite avait été colmatée le jour même et les personnes concernées ont été mises au courant le 16 novembre.
« Il y a eu moins de 900 cartes de crédit exposées et sans leur cryptogramme visuel obligatoire pour un paiement », a assuré au Parisien Fabrice Perdoncini, PDG de Gekko. « Nous n’avons absolument pas connaissance » d’éventuels usages frauduleux, a déclaré de son côté la porte-parole de l’entreprise.
Un serveur mal paramétré en cause
Les données, stockées sur un serveur mal paramétré laissant un port de connexion ouvert, proviennent de nombreux pays, la plupart européens. La majorité des données compromises étaient issues de Teldar Travel, un système de réservation destiné aux agences de voyage et salariés d’entreprises. D’après vpnMentor, la faille, les données représentaient plus d’un teraoctet, dont des noms, adresses électroniques, identifiants, historiques de réservations, mais aussi les détails de cartes de crédits, etc.
La CNIL saisie de l’incident
Suite à la découverte de la faille, la Commission nationale informatique et libertés (CNIL) a indiqué avoir reçu de la part de Gekko Group, une notification de violation de données personnelles. Avec le RGPD, le montant des sanctions pécuniaires en cas de manquement en matière de sécurité des données peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4% du chiffre annuel mondial.
D’après le texte du RGPD, en cas de violation de données à caractère personnel, le responsable du traitement notifie à l’autorité de contrôle compétente, dans les meilleurs délais. Et si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
« Nous avons agi de façon strictement conforme (…) aux délais et procédures » prévus par le règlement général sur la protection des données comme par la CNIL affirme-t-on chez Gekko.
