Ariane Systems: как одна кавычка раскрывает данные гостей отелей по всему миру

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Саморегистрация в отеле позволяет за 1 минуту украсть миллионы данных и проникнуть в чужой номер.

Системы саморегистрации от Ariane Systems, установленные в тысячах отелей по всему миру, открывают доступ к личным данным гостей и ключам от номеров.

Терминалы саморегистрации позволяют гостям самостоятельно бронировать номера и регистрироваться в отеле, управлять процессом оплаты через POS-систему, печатать счета и получать RFID-ключи от номеров.

В марте 2024 года исследователь безопасности из компании Pentagrid Мартин Шоберт обнаружил, что может легко обойти Ariane Allegro Scenario Player, работающий в режиме киоска на терминале саморегистрации, и получить доступ к рабочему столу Windows со всеми данными клиентов. Несмотря на многочисленные попытки сообщить об этом поставщику, исследователь так и не получил должного ответа о версии прошивки, которая устраняет проблему.

Шоберт обнаружил, что приложение зависает при вводе одинарной кавычки на экране поиска бронирований. При повторном касании экрана Windows предлагает завершить работу приложения Ariane Allegro Scenario Player. После завершения работы программы отображается рабочий стол. Оттуда можно получить доступ к любым файлам, хранящимся на устройстве, включая данные бронирований с личной информацией гостей.

Цепочка действий, открывающая доступ к рабочему столу терминала

В России и ищешь VPN? Покупай через Телеграмм-бот:

Pentagrid отмечает, что возможность вводить и выполнять программный код позволяет создавать ключи от других номеров, поскольку функциональность создания RFID-транспондеров реализована в терминале.

Уязвимые терминалы обычно используются в небольших и средних отелях, где круглосуточное наличие персонала регистрации было бы слишком затратным для бизнеса. По данным Ariane Systems, их решения для саморегистрации используются в 3000 отелей в 25 странах, с общим количеством более 500 000 номеров. Среди клиентов компании – 30 из 100 лучших международных гостиничных сетей.

  LockBit: чудовище возрождается с 625% ростом в мае

Шоберт неоднократно пытался сообщить о своих находках Ariane с момента обнаружения проблемы в начале марта 2024 года, но получал лишь короткие ответы с утверждениями, что проблемы были устранены. В настоящее время неизвестно, какая версия приложения устраняет проблему, сколько терминалов используют уязвимую версию и какие гостиничные сети затронуты.

Ariane Systems заявила, что проблема была исправлена в новой версии Allegro Scenario Player. Отелям рекомендуется убедиться, что установлена актуальная версия ПО, и изолировать терминалы от гостиничной сети, чтобы предотвратить атаки на сеть отеля или домен Windows.

В апреле 2024 года Шоберт обнаружил аналогичную проблему на терминале саморегистрации, используемом немецким отелем Ibis. Было обнаружено, что ввод шести последовательных дефисов для номера бронирования вызывает возврат данных о бронировании, таких как цена, номер комнаты и действительные коды доступа.

Оба случая стали одними из ряда проблем с безопасностью в отелях, обнаруженных за последнее время. Ранее исследователи выявили уязвимости в системах замков Saflock, затрагивающие около 3 миллионов гостиничных дверей по всему миру, а также другие IT-проблемы, влияющие на системы бронирования, оплаты и доступа в отелях различных сетей.

Также напомним, что на компьютерах для регистрации гостей нескольких отелей сети Wyndham в США было обнаружено шпионское ПО, собирающее и публикующее скриншоты с личной информацией клиентов.

Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.

Узнайте, как защититься!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

  Фишинговые счета с HTML-бомбой: взлом системы через 3, 2, 1

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий