🧠 Блог посвящен теме VPN и безопасности, конфиденциальности данных в Интернете. Рассказываем про актуальные тренды и новости связанные с защитой.

BREACH : Платформа управления гостиничным бизнесом

81

vpn.inform.click недавно обнаружил значительное нарушение данных в индустрии гостеприимства. Гостевая коммуникационная платформа AavGo имеет открытый сервер — закрытый по состоянию на 16 июля 2019 года — содержащий как минимум две клиентские базы данных (Equinox и Guestline), заполненные именами пользователей, паролями и личными данными.

Примечание редактора: для ясности, Aavgo владеет базой данных, и ее клиенты не несут ответственности за утечку данных. Guestline, один из клиентов Aavgo, появился в результате взлома. Представитель Guestline говорит, что они были только в суде с домашним приложением Aavgo для двух свойств.

В чем дело?

Наш хактивист в белой шляпе, Даниэль Браун, нашел сервер баз данных с повышенным риском, который, по-видимому, принадлежит AavGo, компании, занимающейся технологиями гостеприимства.

Пример запроса SQL, зарегистрированного системой

Из того, что мы нашли, есть:

  • Записки и сообщения между сотрудниками
  • Информация о бронировании
  • Личная информация о гостях
  • Полная личная информация (PII)
  • Детали образа жизни (например, количество детей и домашних животных)
  • Способ оплаты
  • Жалобы от гостей и клиентов
  • Обслуживание номеров
  • Данные для входа в администрацию отеля
  • Имя пользователя и пароль включены — позволяет получить доступ к панели администратора и системе бронирования
  • Внутренний пользователь базы данных и пароль
  • Информация для входа в гостевую систему
  • Счета-фактуры
  • Заказы на работу
  • Изображения гостиничных номеров, сделанные уборщиками
  • Изображения сломанного оборудования

Чьи данные доступны?

В этой утечке данных доступно более 8 миллионов записей, включая данные о компании, клиенте и госте. AavGo — это облачное программное обеспечение для привлечения гостей и управления операциями как услуга (SaaS), чья информация о клиентах составляет большую часть базы данных на сервере.

В компании , использующие AavGo включают (но не ограничиваются) :

  • Baymont Inn & Suites
  • The Row Hotel
  • Отели Стей Кал
  • Отели Зеника
  • Холидей Инн Экспресс
  • Days Inn
  • BestWestern Hotels & Resorts,
  • Лиа Отель
  • Mylo Hotel
  • Отель Зико
  • Santa Fe Sage Inn & Suites
  • Alura Inn
  • Менло Парк Инн
  • Stone Villa Inn
  • Alpine Inn & Suites
  • Краун Плаза
  • Гостинлайн Система Управления Собственностью
  • Equinox Solutions, Ltd.

Guestline — это система управления имуществом (PMS) , которая, похоже, использует AavGo в качестве базовой платформы для привлечения клиентов и управления персоналом. Они предлагают центральную систему бронирования для координации тарифов, бронирования и инвентаризации, предоставляют платежные решения, подарочный ваучер и другие решения, связанные с PMS.

Среди их клиентов — Days Inn, группа Peach Pubs, Legacy Hotels and Resorts, SACO — Компания по обслуживанию квартир, Best Western Hotels & Resorts и другие. Большинство свойств, использующих Guestline PMS, находятся в большей части Великобритании.

решения равноденствия ltd_censored

hotel images_censored

Форма жалобы клиента Equinox Solutions

Equinox Solutions — это приложение для логистики , которое позволяет предприятиям индустрии гостеприимства координировать планирование и закупку оборудования. Их клиентами являются The Ritz Carlton, Hyatt, Marriott, Oberoi Group, Hilton , et al. Большая часть свойств, использующих Решения Equinox, кажется, находится в Индии.

личные данные гостя

Информация о госте и бронировании

Также доступны данные о гостях в отелях, и они предоставляют достаточно информации, чтобы хакер мог легко узнать с минимальными интернет-исследованиями, как выглядит их домашняя ванная комната (например, через веб-сайты недвижимости) и какие школы посещают их дети (публичные записи о муниципальном зонировании) .

Наряду с электронной почтой, полным адресом с почтовым индексом, номером телефона и т.д., Также очень просто взломать почтовые ящики, социальные сети и финансовые учетные записи, просто сбросив пароль с ответами на общие вопросы безопасности. Поскольку это включает в себя гостей, которые в настоящее время находятся в отеле, это также основная информация для потенциальных грабителей в сочетании с их домашним адресом, которые будут знать продолжительность своего пребывания и насколько далеко они на самом деле находятся, и использовать окно возможностей для убирать дом.

Амазон Прайм отель бронирование

Amazon Prime заказ от гостя

С информацией, предоставленной этой утечкой, маркетинговые группы и конкуренты могут легко извлечь выгоду , особенно зная:

  • Стоимость номера
  • Доход на номер
  • Дни пребывания
  • Происхождение гостей
  • Источник бронирования
  • Электронные адреса и телефоны гостей, а также…
  • Независимо от того, выбрал ли гость программы лояльности или списки рассылки по электронной почте

Как это произошло и как это можно предотвратить?

Причин такого поведения является то , что есть двигатель ElasticSearch , который установлен на этом сервере, без механизма аутентификации активированного и сам сервер доступен из Интернета, что делает открыть данные ElasticSearch для тех , кто взглянуть на — и этот сервер имеет бревна из ответственных систем, в нем много конфиденциальной информации.

Серверы с установленным на них ElasticSearch не должны быть открыты для интернета — этот механизм был разработан для использования в закрытых внутренних сетях. Вот почему у него даже по умолчанию не активирована аутентификация по паролю .

Чтобы избежать такого рода проблем, администраторы должны установить проверку подлинности по паролю при установке ElasticSearch и быть на 100% уверены, что сервер, на котором он установлен, не подключен к Интернету (или к любой внешней сети). Чтобы узнать, как лучше сохранить пароль, проверьте это .

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. ПринимаюПодробнее