Recevez chaque jour toute l'actualité du numérique

x

AccorHotels fait face à une fuite massive de données personnelles

Vu ailleurs Gekko Group, filiale d'AccorHotels spécialisée dans la réservation hôtelière B2B, est confronté à une fuite de données personnelles. Les informations de quelque 140 000 voyageurs sont concernées. En vertu du RGPD, la Cnil a été prévenue et, en cas de manquement, pourrait prononcer des sanctions.
Twitter Facebook Linkedin Flipboard Email
×

AccorHotels fait face à une fuite massive de données personnelles
AccorHotels fait face à une fuite massive de données personnelles © Pixabay/Boskampi

Une filiale d'AccorHotels, Gekko – spécialiste de la réservation hôtelière B2B – a été confrontée à une fuite de données, d'après un article du Parisien publié le 20 novembre 2019. Les informations de 140 000 voyageurs seraient concernées. Elles proviendraient principalement de Teldar Travel & Infinite Hotel, des plates-formes de réservation d'hébergements et de transports en ligne appartenant à Gekko. Cependant, il n'y aurait eu aucune "utilisation frauduleuse de ces données", d'après les déclarations de Fabrice Perdoncini, PDG de Gekko, au Parisien.

 

La faille serait liée à une erreur de paramétrage. Elle a été repérée par les chercheurs israéliens Noam Rotem et Ran Locar, assistés par le site web VPNMentor, le 7 novembre 2019. Dans un communiqué publié le 20 novembre 2019, ils racontent qu'ils ont contacté une première fois Gekko le 10 novembre sans réponse. C'est finalement le 13 novembre que la filiale d'AccorHotels régularise la situation. "Ce n'est malheureusement pas la première fois que nous constatons une violation de données d'une telle ampleur avec ce type d'informations sensibles. C'est un problème beaucoup plus courant qu'on ne le pense", a déclaré Noam Rotem. 

 

Une faille aux ramifications complexes

"Aujourd'hui, les données qui ont fuité concernent seulement les noms et prénoms, et dans certains cas les adresses emails. C'est tout", tente de rassurer Marine Rosay, responsable de la stratégie marketing et communication chez Gekko, contactée par L'Usine Digitale. Pourtant, selon les chercheurs, la nature des données en question semble être beaucoup plus large... tout comme leur quantité.

 

En effet, Gekko interagit avec de nombreux prestataires externes qui eux-mêmes travaillent avec des partenaires comme Booking.com, Occius (plate-forme de voyage espagnole) ou Mondial Assistance (plate-forme de voyage polonaise). Ces ramifications débouchent sur une grande diversité de données. Ainsi, auraient pu fuiter des informations sur les réservations d'hôtels et de transports, les détails de carte de crédit (photo ci-dessous), des informations d'identification de connexion des plates-formes extérieures, des adresses postales et emails… Les citoyens de plusieurs pays seraient concernés : la France, le Royaume-Uni, les Pays-Bas, le Portugal, l'Espagne, la Belgique, l'Italie et Israël.

 

Un exemple de réservation effectuée via Teldar Travel,
avec les informations de carte de crédit masquées clairement affichée
s (VPNMentor)

 

Gekko Group assure avoir notifié cet incident à la Cnil, une obligation prévue par le RGPD lorsque la fuite de données risque de violer la vie privée. Le responsable de traitement a 72 heures maximum à partir de la découverte pour prévenir le gendarme de la vie privée... qui pourra, s'il juge qu'il y a eu des négligences, infliger des sanctions.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media