06.11.2018,
13:25
3446
Как из гостиниц утекают данные постояльцев
Аналитический центр компании InfoWatch составил дайджест утечек из гостиничных сетей.
Аналитический центр компании InfoWatch составил дайджест утечек из гостиничных сетей.
По словам представителей InfoWatch, платежная информация и персональные данные клиентов отелей — желанные объекты для злоумышленников. Зачастую отели теряют данные клиентов в результате взлома сетей Wi-Fi и атак на системы бронирования. Также это может произойти по другим причинам.
В октябре сеть отелей Radisson уведомила участников своей программы лояльности об утечке личной информации. Скомпрометированными оказались такие данные, как имена, адреса, страны проживания, адреса электронной почты, номера телефонов и номера партнерских карт. По предварительной информации, злоумышленники обманным путем получили доступ к учетным записям ряда сотрудников отелей и смогли похитить конфиденциальные сведения. О числе пострадавших не сообщается, но представители Radisson уверяют, что скомпрометированы данные «менее 10%» участников программы лояльности.
Одну из крупнейших в истории Китая утечек информации испытал гостиничный холдинг Huazhu Group. В даркнете обнаружена информация 130 млн постояльцев отелей: имена, телефонные номера, адреса электронной почты, данные банковских карт и сведения о бронировании номеров. Предположительно, утечка произошла через незащищенный канал при загрузке базы данных на GitHub. Анонимные торговцы предлагали купить полную базу за 8 биткойнов (около 54 тыс. долларов США), но после того, как инцидент получил огласку в СМИ, снизили цену до 1 биткойна.
Летом хакеры атаковали сервера системы Fastbooking, которая предоставляет услуги бронирования для более чем 4000 отелей в 40 странах. Одним из пострадавших партнеров названа японская сеть Prince Hotels. Добычей киберпреступников стали около 125 тыс. записей персональных данных: имена, адреса и платежная информация.
В особой зоне риска находятся посетители отелей, использующие публичные Wi-Fi-сети. Это излюбленный канал для злоумышленников. Взломав сеть, хакер может похитить идентификационные данные или перехватить пароль для входа в мобильный банк. Недавно на эту проблему решил обратить внимание китайский исследователь безопасности, посетивший конференцию в Сингапуре. Мужчина проживал в отеле Fragrance и наглядно продемонстрировал общественности уязвимость местной сети. Он без особого труда взломал интернет-шлюз, красочно описав весь процесс в своем блоге. Действуя из добрых побуждений, специалист скомпрометировал ряд конфиденциальных данных, которые могли использовать злоумышленники для серьезной атаки на отель. В результате такой «самодеятельности» китаец был оштрафован на 5000 сингапурских долларов (порядка 3600 долларов США).
В эпоху распространения облачных хранилищ нередки случаи компрометации конфиденциальных данных под влиянием человеческого фактора. Гостиницы и их партнеры здесь не исключение. Так, в Бразилии система бронирования путешествий HBook оставила незащищенными данные более 430 тыс. человек, оставлявших заявки на резервирование номеров. В частности, в Сеть просочились данные о заказах и номера кредитных карт.
Андрей Арсентьев, аналитик ГК InfoWatch, комментирует: «Неотъемлемая часть работы современных гостиниц — работа с платежной информацией. Поэтому, выстраивая систему информационной безопасности, обязательно необходимо позаботиться о сертификации на соответствие международному стандарту PCI DSS. Также любая гостиница должна обладать современными системами отражения атак, поддерживать своевременную установку новых версий корпоративного ПО и антивирусов.
Поскольку информация постояльцев довольно часто утекает в результате атак на системы бронирования, сетям отелей стоит уделить особое внимание при выборе партнеров. Сервис бронирования должен иметь надежные системы защиты и нести определенную ответственность за допущенные нарушения.
Обеспечивая защиту данных от хакерских атак, нельзя забывать о предотвращении утечек, вызванных внутренними нарушениями. Внедрение DLP-системы (Data Leakage Prevention) позволит заблокировать несанкционированную передачу конфиденциальных данных, в частности, слив недобросовестным сотрудником платежной информации клиентов или их паспортных данных.
Кроме того, сотрудники отелей могут позаботиться о дополнительной безопасности гостей. Вполне действенный способ предотвращения утечек — вручение заселяющимся небольших памяток с основными рекомендациями. Так, можно попросить гостей не забывать свои паспорта и карты в номере или использовать сейфы. Также важно напомнить клиентам о высоких рисках использования публичных сетей».