Търсене
Close this search box.

При терминалите за регистрация, използвани от хиляди хотели, изтича информация за гостите

Системите за самостоятелно регистриране на Ariane Systems, инсталирани в хиляди хотели по света, са уязвими от грешка в режима на киоска, която може да позволи достъп до личната информация на гостите и ключовете за всички стаи.

Тези терминали позволяват на хората сами да резервират и да се регистрират в хотела, да обработват процеса на плащане чрез POS подсистема, да отпечатват фактури и да предоставят RFID транспондери, използвани като ключове за стаите.

Още през март изследователят по сигурността на Pentagrid Мартин Шоберт откри, че може лесно да заобиколи плейъра Ariane Allegro Scenario Player, работещ в киоск режим на терминала за самонастаняване в хотела, в който беше отседнал, и да получи достъп до основния десктоп на Windows с всички данни за клиентите.

Въпреки многократните опити да предупреди производителя, изследователят все още не е получил подходящ отговор от него за версията на фърмуера, която решава проблема.

Избягване на единични кавички

Шоберт е открил, че приложението увисва при въвеждане на единична котировка на екрана за търсене на резервации на терминала.

При повторно докосване на екрана базовата операционна система Windows предлага на потребителя възможността да прекрати процеса на приложението, което прекратява Ariane Allegro Scenario Player и дава достъп до работния плот.

Оттам потребителят може да получи достъп до всички файлове, съхранявани на устройството, които могат да включват всичко – от записи на резервации с лична информация (PII) до фактури.

„С достъпа до работния плот на Windows могат да станат възможни атаки срещу хотелската мрежа, както и достъп до данните, съхранявани на терминала, които включват лични данни, резервации и фактури“, се обяснява в доклада на Pentagrid.

„С възможността за инжектиране и изпълнение на програмен код изглежда възможно да се получат ключове за стаи, създадени за други стаи, тъй като в терминала е реализирана функционалността за предоставяне на RFID транспондери.“

Въздействие и отстраняване

Уязвимите терминали обикновено се използват в малки и средни по размер заведения, където наемането на персонал за регистрация 24 часа в денонощието, 7 дни в седмицата би било твърде скъпо за бизнеса.

Според Ariane Systems нейните решения за самостоятелно чекиране в момента се използват от 3000 хотела в 25 държави, които общо имат над 500 000 стаи. Сред клиентите им са една трета от 100-те най-големи хотелски вериги в света.

След откриването на проблема в началото на март Шоберт многократно се е опитал да съобщи на Ariane своите констатации, но е получил само кратък отговор, в който се твърди, че проблемите са отстранени.

Понастоящем не е известно коя версия на приложението отстранява проблема, колко терминала използват уязвимата версия и кои хотелски вериги са засегнати.

На операторите на хотели, използващи терминали на Ariane Systems, се препоръчва да изолират машините за самонастаняване от хотелската мрежа и други критични системи и да се свържат с доставчика, за да установят дали използват защитена версия.

През април Шоберт открива подобен проблем в терминал за самостоятелно чекиране, използван от германски хотел Ibis. Той установява, че въвеждането на шест последователни тирета за референтния номер на резервацията кара терминала да връща данни за резервацията, като цена, номер на стаята и валидни входни ключови кодове.

 

Източник: По материали от Интернет

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
Бъдете социални
Още по темата
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
14/06/2024

Засилени киберзаплахи пред ...

Евро 2024  в Германия започва след...
12/06/2024

Съвети за отпускарския сезон

Лятото чука на вратата и се...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!