Ariane Systems: как одна кавычка раскрывает данные гостей отелей по всему миру

06.06.2024

Саморегистрация в отеле позволяет за 1 минуту украсть миллионы данных и проникнуть в чужой номер.

Системы саморегистрации от Ariane Systems, установленные в тысячах отелей по всему миру, открывают доступ к личным данным гостей и ключам от номеров.

Терминалы саморегистрации позволяют гостям самостоятельно бронировать номера и регистрироваться в отеле, управлять процессом оплаты через POS-систему, печатать счета и получать RFID-ключи от номеров.

В марте 2024 года исследователь безопасности из компании Pentagrid – это компания, специализирующаяся на оценке и консультациях в области информационной безопасности. Основана в 2019 году Мартином Шобертом и Тобиасом Оспельтом. Компания действует как независимый поставщик услуг безопасности, который стремится к прозрачности и долгосрочным отношениям с клиентами, акцентируя внимание на их конфиденциальности. Компания также придерживается принципов нейтралитета и не участвует в проектах, противоречащих их ценностям." data-html="true" data-original-title="Pentagrid" >Pentagrid Мартин Шоберт обнаружил, что может легко обойти Ariane Allegro Scenario Player, работающий в режиме киоска на терминале саморегистрации, и получить доступ к рабочему столу Windows — это операционная система для персональных компьютеров, разработанная и выпускаемая компанией Microsoft. ОС предоставляет пользователю удобный интерфейс и обширный функционал для работы с компьютером. Первая версия Windows вышла в 1985 году.<br> <br> С помощью Windows пользователи могут закрывать целый спектр различных потребностей, будь то работа, учёба, развлечения, разработка программного обеспечения и т.п.<br> <br> Windows поддерживает широкий спектр аппаратного обеспечения, что делает её самой популярной и широко используемой настольной ОС в мире, способной, впрочем, работать также и на мобильных устройствах.<br>" data-html="true" data-original-title="Windows" >Windows со всеми данными клиентов. Несмотря на многочисленные попытки сообщить об этом поставщику, исследователь так и не получил должного ответа о версии прошивки, которая устраняет проблему.

Шоберт обнаружил, что приложение зависает при вводе одинарной кавычки на экране поиска бронирований. При повторном касании экрана Windows предлагает завершить работу приложения Ariane Allegro Scenario Player. После завершения работы программы отображается рабочий стол. Оттуда можно получить доступ к любым файлам, хранящимся на устройстве, включая данные бронирований с личной информацией гостей.

Цепочка действий, открывающая доступ к рабочему столу терминала

Pentagrid отмечает, что возможность вводить и выполнять программный код позволяет создавать ключи от других номеров, поскольку функциональность создания RFID-транспондеров реализована в терминале.

Уязвимые терминалы обычно используются в небольших и средних отелях, где круглосуточное наличие персонала регистрации было бы слишком затратным для бизнеса. По данным Ariane Systems, их решения для саморегистрации используются в 3000 отелей в 25 странах, с общим количеством более 500 000 номеров. Среди клиентов компании – 30 из 100 лучших международных гостиничных сетей.

Шоберт неоднократно пытался сообщить о своих находках Ariane с момента обнаружения проблемы в начале марта 2024 года, но получал лишь короткие ответы с утверждениями, что проблемы были устранены. В настоящее время неизвестно, какая версия приложения устраняет проблему, сколько терминалов используют уязвимую версию и какие гостиничные сети затронуты.

Ariane Systems заявила, что проблема была исправлена в новой версии Allegro Scenario Player. Отелям рекомендуется убедиться, что установлена актуальная версия ПО, и изолировать терминалы от гостиничной сети, чтобы предотвратить атаки на сеть отеля или домен Windows.

В апреле 2024 года Шоберт обнаружил аналогичную проблему на терминале саморегистрации, используемом немецким отелем Ibis. Было обнаружено, что ввод шести последовательных дефисов для номера бронирования вызывает возврат данных о бронировании, таких как цена, номер комнаты и действительные коды доступа.

Оба случая стали одними из ряда проблем с безопасностью в отелях, обнаруженных за последнее время. Ранее исследователи выявили уязвимости в системах замков Saflock, затрагивающие около 3 миллионов гостиничных дверей по всему миру, а также другие IT-проблемы, влияющие на системы бронирования, оплаты и доступа в отелях различных сетей.

Также напомним, что на компьютерах для регистрации гостей нескольких отелей сети Wyndham в США было обнаружено шпионское ПО, собирающее и публикующее скриншоты с личной информацией клиентов.

Добавить комментарий

Your email address will not be published.

Предыдущая история

Crytic-compilers: хакеры всё чаще прячут инфостилеры в репозиториях для разработчиков

Next Story

Без синевы. Врач рассказал, как не допустить гематомы после забора крови

Последние из Наука и образование

Рейтинг мировых университетов THE 2025: Оксфорд удерживает первое место, проверьте топ-10 и их общий балл

09.11.2024
Оксфордский университет, Массачусетский технологический институт (MIT) и Гарвардский университет заняли первые три места в рейтинге мировых университетов THE 2025. Times Higher Education (THE) поставил

Первоклассники Туркменистана получат в подарок от Президента усовершенствованные модели ноутбуков

30.08.2024
В новом 2024-2025 учебном году более 155 тысяч первоклассников Туркменистана получат в подарок от имени Президента Сердара Бердымухамедова усовершенствованные модели портативных компьютеров. Среди новшеств

Учебная поездка в Малайзию

30.08.2024
В канун нового, 2024-2025 учебного года вузовская делегация в составе преподавателей и студентов Международного университета нефти и газа имени Ягшыгелди Какаева, а также его

«Цифроземье 2024»: ИТ-форум, где будущее уже здесь

20.08.2024
В начале осени Воронеж станет эпицентром цифровых инноваций. 5 сентября в Сити-парке «Град» пройдет ИТ-форум «Цифроземье 2024», который объединит специалистов, предпринимателей, экспертов и всех,
Перейти кTop