Automatização do ciclo de vida integrado: HP ProLiant Gen8
Site de viagens Hotel Hippo está fechado para o negócio depois de um bod infosec avistou escancarado falhas de segurança que poderiam permitir que hackers para espionar através dos clientes de reserva detalhes.
Consultor de segurança da informação Scott Helme contactado The Register para discutir a falha de segurança, o que pode ser muito útil para os assaltantes que querem ver se as marcas estão de férias antes de quebrar em nicking e todas as suas coisas.
O Gabinete do Comissário de Informação Reino Unido (ICO) abriu uma investigação sobre a alegada violação de ontem, de acordo com a BBC .
Helme escreveu: "Estas são falhas básicas de segurança que estão expondo enormes quantidades de dados Parece haver poucas empresas irmãos que usam um back-end muito semelhante e da história, embora não tão ruim, é bastante semelhante lá também.".
Após o consultor de segurança publicou seus resultados completos em seu blogue , o Hotel Hippo derrubou seu local e substituiu sua página inicial com um aviso que dizia: "No momento, estamos passando por uma manutenção urgente site."
As alegações de Helme são longas e detalhadas, começando com a alegação de que seu certificado de segurança HTTPS é realmente para um site chamado chá da tarde para dois.
Ele então descobriu que poderia entrada reserva outros do que seu próprio números de referência e visualizar informações pessoais de outros clientes, simplesmente fazendo uma pequena alteração na URL.
"Acontece que você pode começar a andar para trás através dos números de referência de reserva, que são seqüenciais, e puxe os dados associados a cada um", disse ele.
Helme também sugeriu que o site do Hotel Hippo não suporta os padrões mais up-to-date de segurança como TLS 1.1, TLS 1.2 e Perfect Forward Secrecy, potencialmente colocando-o em conflito com as de segurança requisitos (PDF) da Indústria de Cartões de Pagamento ( PCI) diretrizes.
Além disso, Helme também afirmou que Hotel Hippo não conseguiu noindex as áreas de segurança de seu site a partir do Google, o que significa bots do motor de pesquisa já havia aparecido a detalhes pessoais índice de pelo menos um dos clientes a partir de uma página de reserva supostamente seguro. El Reg testei isso a nós mesmos e descobriu a versão em cache no Google inclui um endereço completo, número de referência da reserva, valor pago e os detalhes parciais de cartão de crédito - o suficiente para um scammer para lançar um ataque de phishing convincentes, como Helme ressalta.
Tentamos entrar em contato com Hotel Hippo, mas não tiveram resposta. Nós vamos atualizar esta história, se nós não ouvir de volta da empresa. ®
Nenhum comentário:
Postar um comentário