Falha na segurança da Mondee expõe itinerários de voos e números de cartões de crédito não criptografados.

A gigante do setor de viagens, Mondee, conseguiu proteger um banco de dados exposto que estava vazando informações sensíveis dos clientes, incluindo itinerários detalhados de voos e hotéis e números de cartão de crédito não criptografados.

O pesquisador de segurança de boa fé, Anurag Sen, conhecido por descobrir dados inadvertidamente expostos na internet, encontrou o banco de dados e compartilhou os detalhes com o TechCrunch para alertar a empresa.

De acordo com Sen, o banco de dados estava exposto na internet sem senha, permitindo que qualquer pessoa acessasse os dados sensíveis usando um navegador da web, apenas com seu endereço IP. O TechCrunch descobriu que o banco de dados também era acessível a partir de um subdomínio facilmente adivinhável de um site subsidiário da Mondee.

Muitos dos dados parecem estar relacionados à subsidiária da Mondee, TripPro, uma plataforma de agente de viagens usada por dezenas de milhares de agentes de reservas e startups de viagens, permitindo a compra de passagens e reservas de hotéis.

O banco de dados, hospedado na nuvem da Oracle, continha informações pessoais dos clientes, incluindo nomes, sexo, datas de nascimento, endereços residenciais, informações de voo e números de passaporte. Alguns dos dados vistos pelo TechCrunch incluem registros completos de nomes de passageiros de clientes, ou PNR, incluindo detalhes de bilhetes e reservas. O TechCrunch também viu números completos de cartão de crédito e datas de validade no banco de dados, mas nenhum dos dados estava criptografado.

O TechCrunch verificou que os dados expostos correspondem a informações reais de pessoas. Uma pessoa com quem falamos confirmou que suas informações de voo estavam corretas e disse que reservou os voos por meio de um site popular de reservas.

O banco de dados também continha dados de teste não relacionados a clientes, gerados pelos desenvolvedores da Mondee.

O banco de dados foi identificado como exposto pela primeira vez no final de julho, de acordo com uma listagem no Shodan, um mecanismo de busca que rastreia a web em busca de servidores e bancos de dados expostos. As circunstâncias de como o banco de dados se tornou publicamente acessível não são conhecidas, embora as exposições de banco de dados sejam frequentemente causadas por erros de configuração humana.

Quando contatada por e-mail, a porta-voz da Mondee, Karen Gillo, não reconheceu o incidente nem forneceu comentários. O banco de dados se tornou inacessível pouco tempo depois que o TechCrunch contatou a Mondee.

Ainda não se sabe se alguém além de Sen encontrou o banco de dados exposto durante o intervalo em que ele estava acessível pela internet. O TechCrunch perguntou à Mondee se a empresa tem a capacidade técnica, como logs, para determinar quais dados, se algum, foram acessados ou extraídos do banco de dados.

A Mondee não informou se planeja notificar os clientes afetados por essa exposição de dados.