أخبار تقنية

فندقان من كل ثلاثة تسرب بيانات العملاء!


دبي – “نبذة”

كشف الباحث في شركة “سيمانتك” كانديد ويست أن موقعين إلكترونين من كل ثلاثة لفنادق يقومان بتسريب بيانات العملاء ما يسمح باختراق خصوصيتهم.

وتعمل “سيمانتك” في مجال برمجيات الأمن وإدارة وإدارة المعلومات.

وأوضح ويست أنه “بينما كنت أقوم أخيراً بعمليات بحث مكثّفة حول تعرض المواقع الإلكترونية الخاصة بعددٍ من الفنادق لهجمات formjacking، واجهتُ مشكلة تتمثل في احتمال سرقة بياناتي شخصياً وعملاء آخرين”.

وأضاف: “قمتُ باختبار عددٍ من المواقع الإلكترونية، بما في ذلك مواقع تابعة إلى أكثر من 1500 فندق في 54 دولة حول العالم، وذلك لدرس نطاق انتشار هذه المشكلة”، مشيراً إلى أنه “تبيّن لي أن موقعين لكل ثلاثة مواقع (67 في المئة) من هذه المواقع، تسرب من دون عمد أكواد مرجعية خاصة بحجوزات عملائها إلى مواقع تابعة إلى جهات أخرى، مثل وكالات إعلانات وشركات تحليل بيانات، إذ تحظى جميع المواقع الإلكترونية التابعة لهذه الجهات بسياسة خصوصية، وهو ما لم تعلن عنه بشكل صريح”.

ويشير ويست إلى أن “وكالات الإعلانات تقوم، كما هو معلوم للجميع، بتتبع عادات التصفح الخاصة بالمستخدمين، وهو ما يعني أن هذه المعلومات التي جرت مشاركتها تتيح لهذه الجهات صلاحيات الدخول إلى بيانات الحجز، والاطلاع على البيانات الشخصية، ومن ثَمّ يسمح ذلك لها بإلغاء الحجز تماماً”.

ويضيف أن “هناك بعض المواقع تستحق الإشادة، لأنها لم تكشف سوى عن قيم رقمية وتاريخ الإقامة في الفندق، ولم تفشِ أي بيانات شخصية، لكن غالبية المواقع الإلكترونية سربت هذه بيانات تشمل اسم العميل بالكامل، والبريد الإلكتروني، والعنوان البريدي، ورقم الهاتف المحمول، إضافة إلى آخر أربعة أرقام لبطاقة الائتمان، ونوع البطاقة، وتاريخ انتهاءها، وأيضاً رقم جواز السفر”.

ويقول الباحث إن “أكثر من نصف (57 في المئة) المواقع الإلكترونية التي قمتُ باختبارها، ترسل رسالة بريد إلكتروني لتأكيد الحجز إلى عملائها والتي تحتوي على رابط للتوجيه إلى صفحة الحجز، ويتم ذلك من باب تسهيل الإجراءات على العملاء، إذ يتم توجيههم مباشرةً إلى حجوزاتهم دون الحاجة إلى تسجيل الدخول في الصفحة”.

ويؤكد أنه “يمكن القول إن مخاطر الخصوصية في هذه الحالات منخفضة نظراً لأن البيانات تتم مشاركتها فقط مع مزودي الطرف الثالث الموثوق بهم من قِبل مواقع الويب، لكنني وجدتُ أن أكثر من ربع المواقع الإلكترونية للفنادق (29%) لم تقم بتشفير الرابط الأولي المرسل عبر البريد الإلكتروني والذي يحتوي على بيانات التعريف، لذلك يمكن للمهاجم المحتمل اختراق بيانات اعتماد العميل الذي ينقر على الرابط  التشعبيHTTP  في البريد الإلكتروني، على سبيل المثال لعرض أو تعديل حجزه”.

ويلفت ويست إلى أنه “قد يحدث ذلك في النقاط النشطة بالأماكن العامة، مثل المطارات أو الفنادق، ما لم يبادر المستخدم باتخاذ سبل حماية الاتصال باستخدام إحدى برمجيات VPN، إذ لاحظت أيضاً أن أحد نظم الحجز سرب البيانات أثناء عملية الحجز إلى خادم عبر رابط  HTTP قبل إعادة توجيه الاتصال إلى HTTPS”.

ويشدد على أنه “لسوء الحظ، فإن هذه الممارسة ليست فريدة من نوعها في قطاع الضيافة، إذ تعد مشاركة المعلومات الحساسة عبر روابط URL أو من خلال خانات إحالة بشكل غير مقصود، أمراً شائعاً بين المواقع الإلكترونية”، مشيراً إلى أنه “خلال العامين الماضيين، اطلعتُ على مشكلات واجهها عددٌ من شركات الطيران وحجز العطلات، وغيرها من المواقع الإلكترونية الأخرى. وفي شهر فبراير الماضي، رصد بعض الباحثين مشكلات مشابهة، والتي تم خلالها استخدام روابط غير مشفّرة على بين عددٍ من مزوّدي خدمات الطيران”.

ويحذر ويست من أن “العديد من المستخدمين يشاركون تفاصيل رحلاتهم على شبكات التواصل الاجتماعي، ربما رغبة في تعريف متابعيهم بالفعل بمكان وجودهم، لكنني متأكد تماماً من أنهم سيهتمون فقط عند وصولهم إلى الفندق ليجدوا أن الحجز قد تم إلغاؤه، إذ قد يبادر المهاجم بإلغاء الحجز لمجرد التسلية أو على سبيل الانتقام الشخصي، أو الإضرار بسمعة الفندق، كجزء من مخطط لابتزازه أو حتى بغرض القيام بعمل تخريبي لصالح جهة منافسة”.

ويضيف أنه “يمكن للمحتالين أيضاً استخدام البيانات التي تم جمعها بهذه الطريقة لإرسال رسائل بريد شخصي مزعجة لإقناع الطرف الآخر بفعل أمر ما، أو لتنفيذ هجمات أخرى في إطار الهندسة الاجتماعية، إذ قد يؤدي إبراز المعلومات الشخصية إلى زيادة مصداقية رسائل الابتزاز التي تدّعي أنك تعرضت للاختراق”.

ويختتم ويست بالقول إن مجموعات الهجوم قد تكون مهتمة بحركات رجال الأعمال والموظفين الحكوميين، إذ إنه من المعروف أن عدداً من مجموعاتAPT ، مثل DarkHotel /Armyworm و OceanLotus /Destroyer وSwallowtail وWhiteFly، شنّت هجمات خطيرة على عددٍ من الأهداف في قطاع الضيافة، لافتاً إلى أن “هناك العديد من الأسباب التي تجعل هذه المجموعات مهتمة بقطاع الضيافة، بما في ذلك لأغراض المراقبة العامة، أو تتبع تحركات الهدف التي يمكن من خلالها تحديد الأفراد المرافقين لهم، أو معرفة المدة التي يقضيها شخص ما في مكان معين، ما يمكن أن يؤدي إلى الوصول الفعلي إلى موقع الهدف”.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: