Kromtechは8月21日(米国時間)、「Online Service Offering Group Hotel Bookings Allegedly Exposed Sensitive Customer and Partnership Data」において、同社のセキュリティ研究者らがオンラインのホテル予約サービスなどを提供しているGroupizeに関連していると見られるデータベースがAmazon Web Services(AWS)上に誰もがアクセスできる状態でホストされていたと伝えた。データベースにアクセスするにあたってログインもパスワードも求められなかったとしている。

アクセスしたデータベースから見つかったとされるデータは次のとおり。

  • クレジットカード情報を含むホテル、顧客、Groupize間における契約書のコピーまたはPDFデータ2936個を含むDocumentsフォルダ
  • 3188個のスプレッドシートを含むall_leadsフォルダ
  • WhiteLabelとタイトル付けされた3万2695個のファイルを含む37個のフォルダ

Groupizeは機密情報が漏洩したという事実を認めていないが、発見されたデータからはGroupizeとの関連性がわかると指摘している。

現在、インターネットを使って安い旅券やホテルを検索することが簡単に行える。操作自体は数回のクリックで終わるが、実際には多くの会社が関連してサービスを提供している。実際にどのような契約でデータがやり取りされているかはわからないが、関連する1社から情報が漏洩した場合、多くの機密情報が漏洩する危険性がある。