Airbnb Data Blunder expõe caixas de entrada de hosts

Airbnb Data Blunder expõe caixas de entrada de hosts com informações pessoais confidenciais sobre hosts e usuários, incluindo endereços, nomes e códigos para entrar em casas alugadas.

Os anfitriões do Airbnb recorreram ao Reddit para reclamar que, ao abrir sua caixa de entrada, eles foram automática e erroneamente veiculados a caixa de entrada para um host diferente. O erro maciço de dados, relatado por vários hosts do Airbnb diferentes, resulta no envio de mensagens e correspondência que incluíam informações pessoais confidenciais sobre hosts e usuários, incluindo endereços, nomes e códigos para entrar em casas alugadas.

Como o Airbnb expôs dados de hosts

Segundo o site ProPrivacy, o alarme foi acionado pela primeira vez por um usuário pelo identificador “callagem“, que afirmou que “Estou fazendo login como um host e está me recebendo com um nome e caixas de entrada diferentes“, acrescentando que, “Eu posso ver as mensagens incluindo os endereços das pessoas e os códigos para entrar em suas casas . Isso significa que outra pessoa pode ver o meu. “

Após a revelação, outros anfitriões do Airbnb começaram a se apresentar também alegando que estavam sendo atendidos na caixa de entrada errada. Um usuário chamado norad73 afirmou ter entrado em contato com vários outros hosts, que também estavam tendo o mesmo problema: “Já conversei com 5-6 hosts que conheço, todos eles têm o mesmo problema. Vendo caixas de entrada de hosts aleatórios de todo o mundo!”

Outro usuário usando o identificador flashover212 comentou que “estiveram no limbo do Suporte a tarde toda, sem resolução à vista. Não consigo acessar minha própria caixa de entrada para me comunicar com os convidados, mas posso acessar centenas de outros hosts” .

De acordo com um anfitrião do Airbnb, a empresa disse a eles que eles não estavam experimentando nada incomum da parte deles. Uma declaração extremamente preocupante de se fazer, considerando o grande número de hosts que recorreram ao Reddit para reclamar.

O impacto em hosts e convidados

Esse tipo de vazamento acidental de dados é extremamente preocupante, e só podemos esperar que o que quer que tenha causado isso já foi corrigido pelo Airbnb. A post original de callagem afirmava que “Foi consertado agora para mim.” Isso levanta algumas esperanças de que o Airbnb foi capaz de retificar o que quer que tenha causado a falha monumental de invasão de privacidade.

No entanto, para os hosts que receberam a caixa de entrada errada e para os titulares de contas cujos dados vazaram para outros hosts, é provável que isso tenha causado muitos problemas.

Para começar, qualquer pessoa cuja caixa de entrada vazou e para quem os códigos de entrada em casa foram divulgados, agora será necessário atualizar esses códigos para garantir que sua propriedade não seja potencialmente vulnerável a roubos. Para que isso ocorra, será necessário que o Airbnb forneça clareza sobre o erro crasso nos dados, fazendo contato direto com qualquer pessoa cuja caixa de entrada foi acidentalmente servida para outro host. Só então eles entenderão que há um risco potencial para seus dados pessoais e domésticos.

Os dados vazados pela Airbnb são altamente confidenciais e podem ser facilmente aproveitados com intenção criminosa para fins de phishing, por exemplo. Isso torna o vazamento de dados do Airbnb profundamente preocupante e, se verificado, certamente levará a uma investigação pela FTC, pela ICO do Reino Unido e pelas autoridades de proteção de dados de quaisquer outros países cujos cidadãos foram afetados pela violação.

Nem é preciso dizer que, se for descoberto que o vazamento de dados foi causado por negligência e proteções de dados inadequadas por parte do Airbnb, esse vazamento de dados do consumidor pode levar a multas pesadas . Afinal, o GDPR estabelece multas de até 10 milhões de Euros (ou 2% de todo o faturamento global da empresa no ano fiscal anterior – o que for maior). A Airbnb também pode se deparar com alguns processos judiciais muito sérios.

A responsabilidade agora está no Airbnb para explicar o que aconteceu e garantir que todos os afetados sejam informados sobre seus melhores próximos passos. Infelizmente, as primeiras indicações parecem revelar que o Airbnb não está sendo particularmente acessível com ajuda.

O Airbnb supostamente informou ao usuário callagem do Reddit que eles deveriam limpar seus cookies para resolver o problema. Isso é muito bom, mas não faz nada para resolver as outras repercussões criadas pelo vazamento, e ainda não está claro se a limpeza dos cookies do navegador resolveu o problema. É também uma resposta extremamente sem brilho a um problema tão grave; porque não deveriam ser os hosts do Airbnb para resolver esse tipo de vazamento de dados por conta própria.

O que podemos dizer com alguma certeza é que o número de hosts reclamando no Reddit parece revelar que este foi um dos vazamentos de dados mais severos e invasivos da memória recente .

O ProPrivacy entrou em contato com o Airbnb para comentar, que disse o seguinte sobre o assunto:

Na quinta-feira, um problema técnico resultou em um pequeno subconjunto de usuários visualizando inadvertidamente quantidades limitadas de informações das contas de outros usuários. Corrigimos o problema rapidamente e estamos implementando controles adicionais para garantir que isso não aconteça novamente. Não acreditamos que nenhuma informação pessoal foi usada indevidamente e em nenhum momento as informações de pagamento foram acessíveis.

O problema técnico ocorreu às 9h30, horário do Pacífico dos EUA, na quinta-feira, foi identificado em uma hora, uma investigação foi iniciada por nossas equipes de engenharia e segurança e o problema foi corrigido às 12h30, horário do Pacífico. Isso não foi resultado de um ataque malicioso à infraestrutura do Airbnb. Ele só existia na área de trabalho e nas plataformas móveis da web – não no aplicativo móvel. Os usuários com acesso inadvertido não podiam modificar os dados dos outros usuários (ou seja, enviar mensagens, reservar / alterar listagens ou realizar quaisquer ações que afetassem os pagamentos da conta do usuário real).