Pelanggaran keamanan Mondee mengungkap rencana perjalanan penerbangan dan nomor kartu kredit yang tidak terenkripsi
Raksasa perjalanan Mondee telah mengamankan database terbuka yang membocorkan informasi sensitif pelanggan, termasuk rincian rencana penerbangan dan hotel serta nomor kartu kredit yang tidak terenkripsi.
Senator Anuragseorang peneliti keamanan dengan niat baik yang dikenal karena menemukan data yang terekspos secara tidak sengaja di internet, menemukan database dan membagikan detailnya kepada TechCrunch untuk mengingatkan perusahaan.
Menurut Sen, database tersebut terekspos ke internet tanpa kata sandi, sehingga memungkinkan siapa pun mengakses data sensitif di dalamnya menggunakan browser web, hanya dengan alamat IP-nya. TechCrunch menemukan bahwa database juga dapat diakses dari subdomain yang mudah ditebak di situs web anak perusahaan Mondee.
Sebagian besar data tampaknya berhubungan dengan Anak perusahaan Mondee, TripProplatform agen perjalanan yang digunakan oleh puluhan ribu agen pemesanan dan perusahaan rintisan perjalanan yang memungkinkan pemesanan tiket penerbangan dan hotel swalayan.
Basis data tersebut, yang dihosting di cloud Oracle dan berukuran lebih dari 1,7 terabyte pada saat terekspos, berisi informasi pribadi pelanggan, termasuk nama, jenis kelamin, tanggal lahir, alamat rumah, informasi penerbangan, dan nomor paspor. Beberapa data yang dilihat oleh TechCrunch mencakup catatan lengkap nama penumpang pelanggan, atau PNR, termasuk detail tiket dan pemesanan. TechCrunch juga telah melihat nomor lengkap kartu kredit pelanggan dan tanggal kadaluwarsanya di database, namun tidak ada data yang dienkripsi.
TechCrunch memverifikasi bahwa data yang diekspos cocok dengan informasi orang sungguhan. Salah satu orang yang kami ajak bicara mengonfirmasi bahwa informasi penerbangan mereka akurat dan mengatakan bahwa mereka memesan penerbangan melalui situs pemesanan populer.
Basis data juga berisi data pengujian non-pelanggan yang dihasilkan oleh pengembang Mondee.
Basis data tersebut pertama kali terlihat terekspos pada akhir Juli, menurut daftar di Shodan, mesin pencari yang merayapi web untuk mencari server dan basis data yang terekspos. Keadaan bagaimana database dapat diakses publik tidak diketahui, meskipun paparan database sering kali merupakan kesalahan konfigurasi yang disebabkan oleh kesalahan manusia.
Saat dihubungi melalui email, juru bicara Mondee Karen Gillo tidak mengakui kejadian tersebut atau memberikan komentar. Basis data menjadi tidak dapat diakses beberapa saat setelah TechCrunch menghubungi Mondee.
Belum diketahui apakah orang lain selain Sen menemukan database yang terekspos selama jendela tersebut dapat diakses dari internet. TechCrunch bertanya kepada Mondee apakah perusahaan memiliki kemampuan teknis, seperti log, untuk menentukan, jika ada, data apa yang diakses atau diambil dari database.
Mondee tidak mengatakan apakah pihaknya berencana memberi tahu pelanggan yang terkena dampak mengenai paparan data ini.
Baca lebih lanjut di TechCrunch:
