El sitio web de reservas del hotel Worldview Limited en el Reino Unido fue multado por 7,500 libras a raíz de que una vulnerabilidad en su sitio produjera una grave fuga de datos.

El incidente permitió a los atacantes acceder a todos los detalles de tarjetas de pago de 3,814 clientes.

Aunque los datos de pago de los clientes se habían cifrado, los medios para descifrar la información, como la clave de descifrado, se almacenó con los datos. Este descuido permitió conocer detalles como los tres dígitos de seguridad necesarios para autorizar pagos.

La vulnerabilidad había existido desde mayo de 2010 y fue descubierta durante una actualización de rutina en junio de 2013. Permitió que los atacantes tuvieran acceso a la información por diez días.

La compañía ha corregido la falla y ha invertido en mejorar sus sistemas de seguridad de TI.

"Puede ser una sorpresa para muchos en la industria de la seguridad, que este tipo de ataques se sigan produciendo. Los ataques de inyección SQL se pueden prevenir, pero las organizaciones necesitan invertir el tiempo y esfuerzo necesario para asegurarse de que su sitio web no sea vulnerable. Worldview Limited no lo hizo, permitiendo que los datos de sus clientes se vieran comprometidos". Comentó Simon Rice, Director en tecnología del grupo ICO.

"Las organizaciones deben actuar ahora para evitar uno de los más viejos trucos del libro de crackers. Si no tienes la experiencia interna, encuentra a alguien, de lo contrario puedes ser la próxima organización con una multa ICO y su reputación se dañe debido a una violación grave".