شريط الأخبار

اجندة الاحداث

تموزآب 2019أيلول
السبتالأحدالإثنينالثلاثاءالأربعاءالخميسالجمعة
272829303112
3456789
10111213141516
17181920212223
24252627282930
31123456
قرصنة
موقعان من كل ثلاثة مواقع إلكترونية لفنادق يقومان بتسريب بيانات العملاء

تكنونيوز - دبي - بينما كنت أقوم أخيراً بعمليات بحث مكثّفة حول تعرض المواقع الإلكترونية الخاصة بعددٍ من الفنادق لهجمات formjacking، فقد واجهتُ مشكلة تتمثل في احتمالية سرقة بياناتي أنا شخصياً وبيانات عملاء آخرين. وقمتُ باختبار عددٍ من المواقع الإلكترونية، بما في ذلك مواقع تابعة لأكثر من 1500 فندق من 54 دولة حول العالم، وذلك بهدف دراسة نطاق انتشار هذه المشكلة، حيث تبيّن لي أن موقعين لكل ثلاثة مواقع، أو ما يعادل 67% من هذه المواقع، تقوم عن غير عمدٍ بتسريب أكواد مرجعية خاصة بحجوزات عملائها إلى مواقع تابعة لجهات أخرى، مثل وكالات إعلانات وشركات تحليل بيانات. وتحظى جميع المواقع الإلكترونية التابعة لهذه الجهات بسياسة خصوصية، وهو ما لم تعلن عنه بشكل صريح.
ولا يخفى على أحدٍ أن وكالات الإعلانات تقوم بتتبع عادات التصفح الخاصة بالمستخدمين، وهو ما يعني أن هذه المعلومات التي جرت مشاركتها تتيح لهذه الجهات صلاحيات الدخول إلى بيانات الحجز، والاطلاع على البيانات الشخصية، ومن ثَمّ يسمح ذلك لها بإلغاء الحجز تماماً.
هناك بعض المواقع التي تحظى تستحق الإشادة، نظراً لأنها لم تكشف سوى عن قيم رقمية وتاريخ الإقامة في الفندق، ولم تفشِ أية بيانات شخصية. إلا أن معظم المواقع الإلكترونية قامت بتسريب هذه البيانات الشخصية، والتي تشمل:
اسم العميل بالكامل
البريد الإلكتروني
العنوان البريدي
رقم الهاتف المحمول
آخر أربعة أرقام لبطاقة الائتمان، ونوع البطاقة، وتاريخ انتهاء البطاقة
رقم جواز السفر
فما سبب هذه التسريبات؟
أكثر من نصف (57%) المواقع الإلكترونية التي قمتُ باختبارها، تقوم بإرسال رسالة بريد إلكتروني لتأكيد الحجز إلى عملائها والتي تحتوي على رابط للتوجيه إلى صفحة الحجز. ويتم ذلك من باب تسهيل الإجراءات على العملاء، حيث يتم توجيههم مباشرةً إلى حجوزاتهم دون الحاجة إلى تسجيل الدخول في الصفحة.
روابط غير مشفّرة
يمكن القول إن مخاطر الخصوصية في هذه الحالات منخفضة نظراً لأن البيانات تتم مشاركتها فقط مع مزودي الطرف الثالث الموثوق بهم من قِبل مواقع الويب. ومع ذلك، فإن ما أثار قلقي أنني وجدتُ أن أكثر من ربع المواقع الإلكترونية للفنادق (29%) لم تقم بتشفير الرابط الأولي المرسل عبر البريد الإلكتروني والذي يحتوي على بيانات التعريف. لذلك يمكن للمهاجم المحتمل اختراق بيانات اعتماد العميل الذي ينقر على الرابط التشعبيHTTP في البريد الإلكتروني، على سبيل المثال لعرض أو تعديل حجزه. وقد يحدث ذلك في النقاط النشطة بالأماكن العامة، مثل المطارات أو الفنادق، ما لم يبادر المستخدم باتخاذ سبل حماية الاتصال باستخدام إحدى برمجياتVPN . وقد لاحظتُ أيضاً أن أحد نظم الحجز قام بتسريب البيانات أثناء عملية الحجز إلى خادم عبر رابط HTTP قبل إعادة توجيه الاتصال إلى HTTPS.
ولسوء الحظ، فإن هذه الممارسة ليست فريدة من نوعها في قطاع الضيافة. وتعد مشاركة المعلومات الحساسة عبر روابط URL أو من خلال خانات إحالة بشكل غير مقصود، أمراً شائعاً بين المواقع الإلكترونية. وخلال العامين الماضيين، اطلعتُ على مشكلات واجهها عددٌ من شركات الطيران وحجز العطلات، وغيرها من المواقع الإلكترونية الأخرى. وفي شهر فبراير الماضي، رصد بعض الباحثين مشكلات مشابهة، والتي تم خلالها استخدام روابط غير مشفّرة على بين عددٍ من مزوّدي خدمات الطيران.
يقوم العديد من المستخدمين بمشاركة تفاصيل رحلاتهم بشكل منتظم، من خلال نشر الصور على شبكات التواصل الاجتماعي. ولا يشعر هؤلاء بأي قلق إزاء عدم وضوح مرجع حجز تذاكرهم. وقد لا ينتابهم القلق بشأن خصوصيتهم، وربما يرغبون في تعريف متابعيهم بالفعل بمكان وجودهم، لكنني متأكد تماماً من أنهم سيهتمون فقط عند وصولهم إلى الفندق ليجدوا أن الحجز قد تم إلغاؤه. وقد يبادر المهاجم بإلغاء الحجز لمجرد التسلية أو على سبيل الانتقام الشخصي، ولكن قد يكون أيضاً على سبيل الإضرار بسمعة الفندق، كجزء من مخطط لابتزازه أو بغرض القيام بعمل تخريبي لصالح جهة منافسة.
يمكن للمحتالين أيضاً استخدام البيانات التي تم جمعها بهذه الطريقة لإرسال رسائل بريد شخصي مزعجة لإقناع الطرف الآخر بفعل أمر ما، أو لتنفيذ هجمات أخرى في إطار الهندسة الاجتماعية. وقد يؤدي إبراز المعلومات الشخصية إلى زيادة مصداقية رسائل الابتزاز التي تدّعي أنك تعرضت للاختراق.
وعلاوة على ذلك، قد تكون مجموعات الهجوم المستهدفة مهتمة أيضاً بحركات رجال الأعمال والموظفين الحكوميين. ومن المعروف أن عدداً من مجموعاتAPT ، مثل DarkHotel /Armyworm و OceanLotus /Destroyerو Swallowtail وWhiteFly، شنّت هجمات خطيرة على عددٍ من الأهداف في قطاع الضيافة. وهناك العديد من الأسباب التي تجعل هذه المجموعات مهتمة بقطاع الضيافة، بما في ذلك لأغراض المراقبة العامة، أو تتبع تحركات الهدف التي يمكن من خلالها تحديد الأفراد المرافقين لهم، أو معرفة المدة التي يقضيها شخص ما في مكان معين. ويمكن أن يؤدي ذلك أيضاً إلى الوصول الفعلي إلى موقع الهدف.
بقلم: كانديد ويست، باحث في شركة سيمانتك

التاريخ : 2019/04/13 01:30:05

لا يوجد تعليقات على هذا الخبر
اضف تعليق
الاسم :  
التعليق :  


RSS
خاريطة الموقع
اتصل بنا


جميع الحقوق محفوظة لموقع تكنونيوز 2012 ©
^ أعلى الصفحة