Menu

Booking figuruje ve ztrátě dat milionů klientů, i když za to nemůže. Útočníci mohou ukrást peníze i vám

Booking figuruje ve ztrátě dat milionů klientů, i když za to nemůže. Útočníci mohou ukrást peníze i vám
Zdroj fotografie: Pexels

Booking.com je nejspíše největší rezervační platforma, která propojuje cestovatele s hotely. Což je skvělé, protože mají vše na jednom místě, a navíc si kupují i zákaznický servis a další benefity. Jinak to nicméně viděli hackeři, kteří se rozhodli těžit z rozsáhlých klientských databází po svém – paradoxně za to samotný Booking vinu nenese, ačkoliv útočníci získávají informace (ne)přímo od něj.

Zloděj ukradne data přes hotelový počítač

Jedná se o vícestupňový útok (B2B2C), který zneužívá špatného zabezpečení hotelových počítačů. Každé zapojené ubytovací zařízení má totiž k Bookingu vlastní přístup, přičemž standardně rezervace spravují recepční přes počítač – a právě tady nastupují útočníci, kteří se ho snaží infikovat malwarem. Kaspersky vysvětluje, že k tomu využívají specializovaný virus, s nímž cílí na admin.booking.com.

To znamená, že se snaží získat přihlašovací údaje onoho hotelu do systému Bookingu. Tím sice nezískají informace o všech klientech, kteří se někdy ubytovali přes tuto platformu, ale „pouze“ o těch v systému daného hotelu. Když se tedy zaměří na nějaký malý s krátkou historií, může jít o stovky až nižší tisíce, ale v případě těch velkých s dlouhou tradicí klidně i desítky tisíc. Dohromady už přitom hackeři takto ukradli data o milionech uživatelů po celém světě, ale Booking za to nemůže.

Hotelový personál se nechá v dobré víře oklamat

Ačkoliv by někdo mohl bez bližšího zkoumání prohodit, že je hotelový personál nekompetentní, nebo že je hotelový systém špatně zabezpečen, není to tak úplně pravda. V principu jde totiž o phisingový útok, a to poměrně sofistikovaný. V hotelích je standardem nějaká úroveň služeb, a to i pod odjezdu. Jenomže přesně na to útočníci cílí a posílají do hotelů e-maily, v nichž se vydávají za bývalé klienty.

Informují je přitom o zapomenutém cestovním pasu, OP, případně čemkoliv hodnotném, s žádostí, zda by jim mohli pomoci s nalezením. A aby pracovníkům hledání „usnadnili“, pošlou odkaz s fotografií dané věci – když na něj přitom kliknou, stáhnou virus, který bez instalace začne krást, pro co přišel. Recepční tak v dobré víře nevědomky vpustí parazita to hotelového systému.

Útočníci následně mohou provádět jménem klientů rezervace a platby, a strhávat jim tak přes uvedenou platební kartu peníze i bez autorizace (ačkoliv to závisí i na bance a povoleních).

Rubriky

#Arecenze

Pro nejnovější informace sledujte také naše sociální sítě

Mohlo by vás zajímat

Diskuze, komentáře a vaše zkušenosti

Podělte se o svůj názor, dotaz a poraďte ostatním v moderované diskuzi. Naši redaktoři se také zapojují, ale odpovídají dle aktuální vytíženosti a časových možností. Pokud potřebujete naši odpověď, využijte spíše email.

Zapojte se do diskuze

Odeslat

Zveřejňujeme každý slušný a přínosný komentář.