Τα τερματικά check-in της Ariane Systems που είναι εγκατεστημένα σε χιλιάδες ξενοδοχεία παγκοσμίως είναι ευάλωτα σε ένα ελάττωμα παράκαμψης λειτουργίας kiosk, που θα μπορούσε να επιτρέψει την πρόσβαση στα προσωπικά στοιχεία των επισκεπτών και στα κλειδιά άλλων δωματίων.
Δείτε επίσης: Παραβίαση δεδομένων επηρεάζει την Toshiba America
Αυτά τα τερματικά επιτρέπουν στους χρήστες να κάνουν κράτηση και να κάνουν check-in στο ξενοδοχείο οι ίδιοι, να χειρίζονται τη διαδικασία πληρωμής μέσω ενός υποσυστήματος POS, να εκτυπώνουν τιμολόγια και να παρέχουν αναμεταδότες RFID που χρησιμοποιούνται ως κλειδιά δωματίου.
Τον Μάρτιο, ο ερευνητής ασφαλείας της Pentagrid, Martin Schobert, ανακάλυψε ότι μπορούσε εύκολα να παρακάμψει το Ariane Allegro Scenario Player που εκτελείται σε λειτουργία kiosk στο τερματικό αυτόματου check-in στο ξενοδοχείο όπου διέμενε και να αποκτήσει πρόσβαση στην υποκείμενη επιφάνεια εργασίας των Windows με όλα τα στοιχεία του πελάτη.
Το μέλλον της φιλοξενίας: Το πρώτο 3D-printed ξενοδοχείο
Παρά τις πολλαπλές προσπάθειες ειδοποίησης του προμηθευτή, ο ερευνητής δεν έχει λάβει ακόμη την κατάλληλη απάντηση από τον προμηθευτή σχετικά με την έκδοση υλικολογισμικού που αντιμετωπίζει το πρόβλημα.
Ο Schobert ανακάλυψε ότι η εφαρμογή κολλάει όταν εισάγετε μια προσφορά στην οθόνη αναζήτησης κρατήσεων του τερματικού.
Δείτε ακόμα: Cooler Master: Παραβίαση δεδομένων επηρεάζει 500.000 πελάτες
Όταν αγγίζετε ξανά την οθόνη, το υποκείμενο λειτουργικό σύστημα Windows προσφέρει στον χρήστη την επιλογή να τερματίσει τη διαδικασία της εφαρμογής, η οποία τερματίζει το Ariane Allegro Scenario Player και παρέχει πρόσβαση στην επιφάνεια εργασίας.
Από εκεί, ο χρήστης μπορεί να έχει πρόσβαση σε όλα τα αρχεία που είναι αποθηκευμένα στη συσκευή, τα οποία θα μπορούσαν να περιλαμβάνουν οτιδήποτε, από καταχωρήσεις κράτησης με προσωπικά στοιχεία ταυτοποίησης (PII) μέχρι τιμολόγια.
«Με την πρόσβαση στην επιφάνεια εργασίας των Windows, οι επιθέσεις στο δίκτυο του ξενοδοχείου θα μπορούσαν να γίνουν δυνατές καθώς και η πρόσβαση σε δεδομένα που είναι αποθηκευμένα στο τερματικό, τα οποία περιλαμβάνουν PII, κρατήσεις και τιμολόγια», εξηγεί η έκθεση Pentagrid.
Τα ευάλωτα τερματικά χρησιμοποιούνται συνήθως σε μικρές και μεσαίες εγκαταστάσεις όπου η πρόσληψη προσωπικού check-in 24/7 θα ήταν δαπανηρή για την επιχείρηση.
Σύμφωνα με την Ariane Systems, οι λύσεις της για self-checkout χρησιμοποιούνται επί του παρόντος από 3.000 ξενοδοχεία σε 25 χώρες, τα οποία έχουν συνολικά πάνω από 500.000 δωμάτια. Μεταξύ των πελατών τους είναι το ένα τρίτο των 100 κορυφαίων αλυσίδων ξενοδοχείων στον κόσμο.
Δείτε επίσης: Hackers εκμεταλλεύονται το Dessky Snippets WordPress Plugin και κλέβουν στοιχεία πιστωτικών καρτών
Οι διαρροές δεδομένων έχουν γίνει ένα όλο και πιο κοινό και ανησυχητικό ζήτημα στην ψηφιακή εποχή. Μια διαρροή δεδομένων, όπως αυτή των τερματικών check-in της Ariane Systems, προκύπτει όταν ευαίσθητες, εμπιστευτικές ή προστατευμένες πληροφορίες εκτίθενται κατά λάθος σε μη εξουσιοδοτημένα άτομα. Αυτό μπορεί να συμβεί με διάφορα μέσα, όπως κυβερνοεπιθέσεις, ελαττωματικά πρωτόκολλα ασφαλείας ή ανθρώπινο λάθος. Οι επιπτώσεις μιας διαρροής δεδομένων μπορεί να είναι σοβαρές, οδηγώντας σε κλοπή ταυτότητας, οικονομική απώλεια και απώλεια εμπιστοσύνης από τους πελάτες ή τα ενδιαφερόμενα μέρη. Ως εκ τούτου, είναι σημαντικό για τους οργανισμούς να εφαρμόζουν ισχυρά μέτρα ασφαλείας, να ενημερώνουν τακτικά τα πρωτόκολλά τους και να εκπαιδεύουν τους υπαλλήλους τους σχετικά με τις βέλτιστες πρακτικές χειρισμού ευαίσθητων πληροφοριών για τον μετριασμό του κινδύνου διαρροής δεδομένων.
Πηγή: bleepingcomputer
