Отели Trump, Hilton и Hyatt hotel подверглись хакерской атаке: злоумышленники регистрируются с помощью вредоносного программного обеспечения и уводят с собой информацию.
Издержки за мини-бар – меньшее, о чем стоит переживать, когда отели стали излюбленной целью хакеров.
Обслуживание в номере, бесплатный чай и печенье, шикарный шведский стол на завтрак, миниатюрные туалетные принадлежности и шоколадка на подушке перед сном – все это лишь немногая часть удовольствий, которые предлагают гостиницы, чтобы сделать отдых особенным.
В ожидании бесплатных халатов и тапочек, гости и не думают о том, при регистрации могут предоставить доступ к информации и личным данным. Это происходит при помощи вредоносной программы, перехватывающей данные при проведении денежных операций.
Некоторые из самых крупных отелей со всего мира пострадали от утечки данных, среди них такие известные сети как Hilton, Starwood, Hyatt и Trump.
В марте 2015 года группа отелей Mandarin Oriental первой сообщила об утечке данных, а за ней и остальные. В отеле подтвердили, что системы оплаты кредитными картами в некоторых гостиницах США и Европы были взломаны. Торговые терминалы (POS) заразили вредоносным программным обеспечением, чтобы украсть персональные данные обладателей карт. Однако, вскоре они уточнили, что похищены были только данные о кредитных картах, а пин-коды и личные данные клиентов остались в безопасности.
В октябре 2015 года Trump Hotel Collection (THC), в сети отелей, принадлежащих кандидату в президенты от республиканской партии Дональду Трампу, сообщили о такой же атаке на свои системы POS длительностью в один год:
“У клиентов, использовавших кредитные или дебетовые карты, чтобы совершить покупки в то время, могли поменяться данные платёжной карты, включая номер счёта платёжных карт, срок действия карты и код безопасности”.
В ноябре 2015 года ещё два гостиничных гиганта сообщили о нарушениях, связанных с POS программами, а именно: Starwood Hotels & Resorts и Hilton Hotels. В сети Starwood Hotels, которой принадлежат бренды Westin, Sheraton, и St. Regis, 54 отеля в Северной Америке были поражены вредоносным ПО. В Hilton Hotels подробно рассказали о нападении, продолжавшемся больше четырех месяцев; число отелей, подвергшихся атакам не указано.
Эта тенденция продолжилась в 2016 году в отелях Hyatt, где подтвердили, что вредоносное программное обеспечение POS получило доступ к именам держателей карт, номерам карт, датам истечения срока действия и кодам верификации в системе, к которой подключены 250 отелей по всему миру.
Мнение о том, что сфера гостиничного бизнеса не привлекательная для хакеров ошибочно. На самом деле, отели являются золотой жилой. Во-первых, в отелях обрабатывается и хранится огромное количество личных и финансовых сведений о постояльцах, а доступ к этим данным довольно прост, если учесть, что все отели находятся в одной сети.
Гай Банкер, старший вице-президент Clearswift, рассказал CBR: “Почему отели стали мишенью… вероятно, из-за своего масштаба. Тысячи людей из сотни разных мест потенциально имеют доступ к важной информации. Отслеживать все возможные точки приложения достаточно проблемно.
Кроме того, есть много разных способов атаковать крупные организации, работающие с обширной клиентской базой. Тысячи клиентов и миллионы денежных операций – богатая подборка для киберпреступников.»
Уровень клиентуры отелей также является приманкой для хакеров в поисках выгоды. Довольно трудно понять, что кредитная карта взломана, когда те, кто пользуется ей, в нашем случае – сотрудники в командировке, совершают покупки в многочисленных местах и странах.
Тревор Кеннеди, директор технической поддержки в Tanium, Великобритания, уточняет: “Разумеется, хакеры осознают, что основная клиентура гостиниц – бизнесмены, которые много путешествуют и совершают покупки в разных местах.
Из-за этого компаниям-эмитентам кредитных карт труднее вовремя вычислить мошенническую деятельность на взломанных счетах, также вероятно, что обладатель карты упустит из виду мелкие транзакции из-за своего плотного графика.”
Однако, больше всего облегчает мошенническую деятельность стратегии безопасности гостиничных сетей, устаревшая инфраструктура и их взгляд на этот вопрос в целом. Стоит отметить, что эта самая структура обеспечивает связь по всей сети отеля. Достаточно взломать систему один раз, и вся информация будет к услугам хакера.
Марк Джеймс, специалист по безопасности компании ESET, утверждает: “Я думаю, что гостиничная индустрия прельщает по нескольким причинам. Серверные системы, как правило, сделаны на заказ и не обновляются после интеграции, если в этом нет необходимости. Кроме того, слишком много путей ведут к конечному устройству, отвечающему за безопасность, что обнаружить “слабое звено” не так уж и сложно.”
Миллард, технический директор Tenable Security, согласен с тем, что отели пренебрежительно относятся к безопасности: “Несмотря на то, что отели должны использовать передовые технологии безопасности, такие как PCI DSS (стандарт безопасности данных индустрии платёжных карт), для защиты систем, недавние события свидетельствуют о том, что некоторые из них прилагают минимальные усилия, чтобы соответствовать требованиям, но что не делают необходимого, чтобы снизить риск потери данных”.
Анализируя недавние случаи утечки данных, нельзя не отметить, что все эти гиганты гостиничной индустрии стали жертвами одного конкретного вида кибератаки – взлома POS-систем. Хакеры обратились к этому мошенничеству после разработки первого вредоносного ПО для POS в 2005 году Альбертом Гонсалесом, который сумел украсть данные от 170 миллионов карт.
Вредоносное программное обеспечение POS использует уязвимости в обработке данных карты. Это происходит во время платежа, в момент, когда данные уже считаны, но ещё не зашифрованы.
Обычно отели используют простой считыватель магнитных карт, соединенный с системой POS. Данные шифруются после оплаты при помощи программы, встроенной в POS. В этом их основное отличие от платёжных терминалов.
Хосе Диас, директор по стратегиям оплаты в Thales e-Security, пояснил CBR:
“Вот важное отличие – платёжные терминалы соответствуют стандартам PCI и шифруют данные во время их получения (самая первая возможность защитить данные). Таким образом информация не может быть прочитана на пути от POS и информационной системы к платёжной системе. Без этой защиты незашифрованные данные о платеже будут уязвимы.
После таких краж данных отели, вероятно, осознали тот факт, что они стали излюбленной целю для киберпреступников. “Как утверждал Гевин Миллард из Tenable Security,отелям нужно сосредоточиться на сокращении “площади” возможных атак, устраняя слабые места, и на постоянном отслеживании нештатного использования сети.”
Проблемы безопасности, с которыми столкнулась гостиничная индустрия будут только усиливаться. Слишком много устройств могут подключаться к интернету и сетям, увеличивая число конечных точек, которые могут быть взломаны.
Гай Банкер из Clearswift уверен в необходимости постоянного мониторинга: “Надо приложить больше усилий, отслеживая информацию, которая покидает базы данных, и защищая ее у источника, а не в конечной цели”.
Этот превентивный подход поддержал Дэвид Эмм, ведущий исследователь Лаборатории Касперского: “Чтобы ещё больше снизить риски, необходимо внедрить технологии мониторинга мошеннических операций, которые будут анализировать поведение клиента во время онлайн-транзакций и обнаруживать подозрительную деятельность в рамках своей информационной инфраструктуры.”
Многие убеждены, что кибератаки неизбежны – вопрос только в том, когда это произойдет. Там, где есть ценные данные, будут те, кто хочет украсть их, а отели – первый претендент на кражу данных, связанных с бизнесом. Объем информации, устаревшая инфраструктура, уязвимая клиентура и множество возможных точек атаки – идеальная комбинация для киберпреступников, ищущих лёгкую наживу.
Будем надеяться, гостиничная индустрия примет во внимание недавние взломы и последуют совету экспертов по безопасности, иначе во время следующих поездок клиенты будут интересоваться не уровнем комфорта, а степенью безопасности его личных данных.