Gekko Group, filiale du groupe AccorHotels, a laissé librement accessibles plus d’un téraoctet de données de connexion provenant de deux systèmes de réservation et comportant 130 000 à 140 000 données voyageurs dont des informations personnelles, des identifiants de connexion et les données de 900 cartes de crédit (sans leur cryptogramme), a rapporté le Parisien. Cette fuite massive de données sensibles, exposées à la suite d’un problème de paramétrage serveur ayant laissé ouvert un port de connexion, a été détectée le 7 novembre 2019 par l’équipe de recherche de la société israélienne vpnMentor, spécialisée dans la sécurité et les VPN. Dans un billet, celle-ci précise que les données compromises viennent de deux sources, d’une part la plateforme B2B de réservation d’hôtels Teldar Travel et d’autre part la centrale hôtelière Infinite Hotels. A la suite de sa découverte vpnMentor a contacté dans la foulée AccorHotels et Gekko Group, sans succès dans un premier temps, puis la CNIL. Gekko a finalement répondu le 13 novembre et pris des mesures pour colmater la brèche.

Contacté par la rédaction, le service communication de Gekko Group a confirmé ces informations et précise que les 1 To de données rassemblaient des logs applicatifs et techniques au sein desquels se trouvaient les informations voyageurs compromises. « Nous avons informé tous nos clients en temps et en heure dans le cadre du RGPD et conformément aux exigences de la CNIL », nous a indiqué la responsable de communication de Gekko.

Des données provenant de 8 pays différents

Dans son billet, vpnMentor détaille la diversité des données exposées : réservations d’hôtels et transports, informations personnelles identifiables et liées aux réservations comme les noms des voyageurs, leurs adresses e-mail et de domicile, des informations associées aux enfants, les dates de voyage, hôtels de destination, prix des séjours, identifiants de connexion permettant d’accéder aux comptes des plateformes Gekko, etc. La plupart des informations viennent de ces deux plateformes, mais on y trouve aussi des données provenant d’autres systèmes externes du secteur du transport et de l’hôtellerie avec lesquels Gekko interagit.

Selon vpnMentor, « cela expose des hôtels, des agences de voyage et leurs clients à travers le monde, nombre d’entre eux n’ayant aucun lien direct avec Gekko Group et ses marques ». Parmi ces plateformes externes figurent ainsi Occius, Infra, Smile, Mondial Assistance, Selectour, Booking.com et Hotelbeds.com. Les données découvertes étaient saisies dans différentes langues, provenant de 8 pays différents : France, Royaume-Uni, Pays-Bas, Portugal, Espagne, Belgique, Italie, Israël. Fondé en 2010, le groupe Gekko a été racheté par AccordHotels en 2017. Sa technologie est basée en France et sa base répertorie 600 000 hôtels dans le monde.