vpn.inform.click недавно обнаружил значительное нарушение данных в индустрии гостеприимства. Гостевая коммуникационная платформа AavGo имеет открытый сервер — закрытый по состоянию на 16 июля 2019 года — содержащий как минимум две клиентские базы данных (Equinox и Guestline), заполненные именами пользователей, паролями и личными данными.
Примечание редактора: для ясности, Aavgo владеет базой данных, и ее клиенты не несут ответственности за утечку данных. Guestline, один из клиентов Aavgo, появился в результате взлома. Представитель Guestline говорит, что они были только в суде с домашним приложением Aavgo для двух свойств.
В чем дело?
Наш хактивист в белой шляпе, Даниэль Браун, нашел сервер баз данных с повышенным риском, который, по-видимому, принадлежит AavGo, компании, занимающейся технологиями гостеприимства.
Пример запроса SQL, зарегистрированного системой
Из того, что мы нашли, есть:
- Записки и сообщения между сотрудниками
- Информация о бронировании
- Личная информация о гостях
- Полная личная информация (PII)
- Детали образа жизни (например, количество детей и домашних животных)
- Способ оплаты
- Жалобы от гостей и клиентов
- Обслуживание номеров
- Данные для входа в администрацию отеля
- Имя пользователя и пароль включены — позволяет получить доступ к панели администратора и системе бронирования
- Внутренний пользователь базы данных и пароль
- Информация для входа в гостевую систему
- Счета-фактуры
- Заказы на работу
- Изображения гостиничных номеров, сделанные уборщиками
- Изображения сломанного оборудования
Чьи данные доступны?
В этой утечке данных доступно более 8 миллионов записей, включая данные о компании, клиенте и госте. AavGo — это облачное программное обеспечение для привлечения гостей и управления операциями как услуга (SaaS), чья информация о клиентах составляет большую часть базы данных на сервере.
В компании , использующие AavGo включают (но не ограничиваются) :
- Baymont Inn & Suites
- The Row Hotel
- Отели Стей Кал
- Отели Зеника
- Холидей Инн Экспресс
- Days Inn
- BestWestern Hotels & Resorts,
- Лиа Отель
- Mylo Hotel
- Отель Зико
- Santa Fe Sage Inn & Suites
- Alura Inn
- Менло Парк Инн
- Stone Villa Inn
- Alpine Inn & Suites
- Краун Плаза
- Гостинлайн Система Управления Собственностью
- Equinox Solutions, Ltd.
Guestline — это система управления имуществом (PMS) , которая, похоже, использует AavGo в качестве базовой платформы для привлечения клиентов и управления персоналом. Они предлагают центральную систему бронирования для координации тарифов, бронирования и инвентаризации, предоставляют платежные решения, подарочный ваучер и другие решения, связанные с PMS.
Среди их клиентов — Days Inn, группа Peach Pubs, Legacy Hotels and Resorts, SACO — Компания по обслуживанию квартир, Best Western Hotels & Resorts и другие. Большинство свойств, использующих Guestline PMS, находятся в большей части Великобритании.
Форма жалобы клиента Equinox Solutions
Equinox Solutions — это приложение для логистики , которое позволяет предприятиям индустрии гостеприимства координировать планирование и закупку оборудования. Их клиентами являются The Ritz Carlton, Hyatt, Marriott, Oberoi Group, Hilton , et al. Большая часть свойств, использующих Решения Equinox, кажется, находится в Индии.
Информация о госте и бронировании
Также доступны данные о гостях в отелях, и они предоставляют достаточно информации, чтобы хакер мог легко узнать с минимальными интернет-исследованиями, как выглядит их домашняя ванная комната (например, через веб-сайты недвижимости) и какие школы посещают их дети (публичные записи о муниципальном зонировании) .
Наряду с электронной почтой, полным адресом с почтовым индексом, номером телефона и т.д., Также очень просто взломать почтовые ящики, социальные сети и финансовые учетные записи, просто сбросив пароль с ответами на общие вопросы безопасности. Поскольку это включает в себя гостей, которые в настоящее время находятся в отеле, это также основная информация для потенциальных грабителей в сочетании с их домашним адресом, которые будут знать продолжительность своего пребывания и насколько далеко они на самом деле находятся, и использовать окно возможностей для убирать дом.
Amazon Prime заказ от гостя
С информацией, предоставленной этой утечкой, маркетинговые группы и конкуренты могут легко извлечь выгоду , особенно зная:
- Стоимость номера
- Доход на номер
- Дни пребывания
- Происхождение гостей
- Источник бронирования
- Электронные адреса и телефоны гостей, а также…
- Независимо от того, выбрал ли гость программы лояльности или списки рассылки по электронной почте
Как это произошло и как это можно предотвратить?
Причин такого поведения является то , что есть двигатель ElasticSearch , который установлен на этом сервере, без механизма аутентификации активированного и сам сервер доступен из Интернета, что делает открыть данные ElasticSearch для тех , кто взглянуть на — и этот сервер имеет бревна из ответственных систем, в нем много конфиденциальной информации.
Серверы с установленным на них ElasticSearch не должны быть открыты для интернета — этот механизм был разработан для использования в закрытых внутренних сетях. Вот почему у него даже по умолчанию не активирована аутентификация по паролю .
Чтобы избежать такого рода проблем, администраторы должны установить проверку подлинности по паролю при установке ElasticSearch и быть на 100% уверены, что сервер, на котором он установлен, не подключен к Интернету (или к любой внешней сети). Чтобы узнать, как лучше сохранить пароль, проверьте это .