Fuite de données chez BookVIP.com : 2,5 millions de clients exposés

Posted On 01 Déc 2024

Un nouvel incident de cybersécurité vient frapper le secteur du voyage. BookVIP.com, leader des offres de séjours à prix réduits, est au cœur d’une fuite de données massive. Les informations personnelles de 2,5 millions de clients et les coordonnées de 600 000 hôtels ont été compromises, et ces données sensibles sont désormais disponibles sur le dark web. Que contient cette fuite ? Quels sont les risques pour les utilisateurs et les partenaires de BookVIP ? Voici une analyse complète.

Une base de données riche en informations sensibles

Les données compromises incluent deux ensembles majeurs :

2,5 millions de clients, incluant leurs noms, emails, numéros de téléphone, codes postaux et pays d’origine.
600 000 hôtels, avec leurs numéros de téléphone et autres informations opérationnelles.

Ces données, mises en vente au format CSV, fournissent une vue complète des clients ayant réservé des chambres haut de gamme ou des séjours de luxe via BookVIP.com.

« 2,5 millions de clients ayant réservé des séjours luxueux voient leurs informations personnelles exposées sur le dark web. »

Les champs spécifiques exposés incluent :

Identifiants de réservation : confirmation unique pour chaque séjour.
Noms et coordonnées des clients : essentiels pour des attaques ciblées.
Coordonnées des hôtels : permettant des abus potentiels ou des campagnes frauduleuses.

Cette base de données détaillée pourrait alimenter des campagnes de phishing sophistiquées ou être utilisée pour cibler des voyageurs aisés et des hôtels prestigieux.

BookVIP.com : un leader sous pression

BookVIP.com, reconnu pour ses offres de séjours à prix réduits grâce à des partenariats exclusifs avec des stations balnéaires, est une plateforme très populaire auprès des consommateurs. Toutefois, cette fuite soulève des questions sur la sécurité de ses systèmes et la gestion des données sensibles de ses utilisateurs.

« Les informations exposées incluent non seulement les coordonnées des clients, mais aussi celles des hôtels partenaires de BookVIP. »

Le modèle d’affaires de BookVIP repose sur des accords directs avec des destinations de luxe, permettant de proposer des tarifs attractifs en échange de présentations commerciales. Cependant, l’impact de cette fuite pourrait nuire à la réputation de la plateforme et entraîner des pertes financières importantes pour ses partenaires.

L’annonce du pirate concernant sa commercialisation. Du « marketing de la malveillance » repéré par ZATAZ.

Conséquences pour les clients et les partenaires

Pour les clients :

Les consommateurs dont les informations personnelles ont été exposées courent plusieurs risques :

Phishing ciblé : Les mails et numéros de téléphone compromis peuvent être utilisés pour des campagnes frauduleuses sophistiquées.
Vol d’identité : Les détails personnels peuvent être combinés avec d’autres informations pour accéder à des comptes ou services financiers.
Harcèlement : Les clients identifiés comme ayant des moyens financiers élevés pourraient être pris pour cible par des escrocs 2.0.

Pour les hôtels partenaires :

Les coordonnées des hôtels pourraient être exploitées pour :

Lancer des attaques d’ingénierie sociale visant le personnel.
Effectuer des réservations frauduleuses ou des abus commerciaux.
Mettre en péril la confiance entre les hôtels et leurs clients.

Une fuite préoccupante pour l’industrie du voyage ?

Les fuites de données dans le secteur du voyage sont particulièrement dangereuses en raison de la richesse des informations stockées. L’exposition d’informations personnelles et d’identifiants uniques de réservation, comme c’est le cas ici, permet aux attaquants de monter des arnaques ciblées avec un fort taux de réussite. Souvenez-vous, voilà quelques années, ZATAZ vous avez expliqué comment des pirates avaient réservé plusieurs chambres d’un hôtel 5 étoiles. Bref, chez les pirates informatiques il n’y a pas de cible privilégiée car nous sommes toutes et tous des cibles potentielles !

Pour ne rien manquer des actualités sur les cybermenaces, abonnez-vous dès maintenant à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données. Ensemble, restons vigilants face à la cybercriminalité.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.