Уязвимости в гостиничных сетях.

Hundreds of data security risks on Marriott, British Airways and easyJet websites exposed by Which?

Британская компания Which?, более 60 лет специализирующаяся на тестировании продуктов и услуг, летом этого года провела большое исследование (https://www.which.co.uk/news/2020/09/marriott-british-airways-and-easyjet-fail-on-data-security-with-hundreds-of-security-risks-exposed-by-which/) с привлечением экспертов по инфосеку, в ходе которого оценила безопасность сайтов 98 компаний туристического сектора, среди которых были гостиничные сети, авиаперевозчики, сайты бронирования и пр.

Исследователи изучали не только основные сайты компаний, но и всю связанную с ними инфраструктуру – поддомены, служебные порталы, рекламные площадки и пр. В ходе изучения использовались исключительно общедоступные инструменты для тестирования.

На веб-сайтах гостиничной сети Marriot, откуда в 2018 утекли данные 339 миллионов гостей, а в мае 2020 года – 5,2 миллионов клиентов, исследователи обнаружили 497 уязвимостей, 96 из которых были серьезными, а 18 – критичными.

Об обнаруженных ошибках было сообщено в Marriot, однако представители компании сообщили, что у них нет оснований полагать, что их клиентские системы или данные были скомпрометированы (what?! через месяц после очередной утечки?!), но пообещали изучить информацию Which?.

На 9 доменах авиакомпании EasyJet, у которой в начале года утекли данные 9 миллионов клиентов, обнаружено 222 уязвимости, среди которых 2 критичные. После того, как сведения были переданы в EasyJet, последние отключили 3 домена и устранили ошибки на 6 других сайтах. Но, как всегда, заявили при этом, что “не обнаружено никакой злонамеренной активности” и, вообще, никаких клиентских данных на этих ресурсах не хранится.

На ресурсах British Airways, сведения о 500 тыс. клиентов которой, включая данные кредитных карт, были украдены в 2019 году, обнаружено 115 уязвимостей, 12 из них – критичные.

American Airlines – 291 уязвимость, из которых 7 критичные.

При этом, ранее на Marriot и British Airways за допущенные утечки клиентских данных регуляторами были наложены штрафы в сотни миллионов долларов. Правда неясно, выплатили ли они их, или договорились о реструктуризации.

То есть ни подорванная репутация, ни огромные штрафы не в состоянии заставить далекий от реалий сегодняшнего мира топ-менеджмент наладить нормальные процессы информационной безопасности. Хотя бы регулярно проводить аудит ИБ.

Хорошо быть тупым (с)

по материалам телеграмм канала https://t.me/true_secator

и сайта https://www.which.co.uk/news/2020/09/marriott-british-airways-and-easyjet-fail-on-data-security-with-hundreds-of-security-risks-exposed-by-which/

ОСТАВЬТЕ ОТВЕТ