btbilgi

Bilgisayarların ve ağ bağlantılı cihazların yer aldığı her sistemde artık güvenlik açıkları keşfetmek normal hale geldi. Siber suçlular mümkün olan her türlü zayıflıktan yararlanmak için sıradışı sektörlerdeki altyapılara bile saldırabiliyorlar. Otel zincirlerinin müşteri hizmetleri veritabanlarına daha önce saldırıldığını görmüştük. Konuk ağırlama sektöründeki en yeni güvenlik problemi, bu sefer yazılımsal tarafta keşfedilmiş durumda.

IBM’in güvenlik araştırmacıları dünya çapında oteller ve etkinlik merkezleri tarafından kullanılmakta olan 5 farklı konuk ağırlama yönetimi uygulamasında açıklar keşfetti. Toplamda 19 adet olduğu belirtilen güvenlik açıkları yüzünden, kötü niyetli kişiler müşteri verilerini ele geçirebilmekte. Bununla da kalmıyor, bu açıklardan faydalanarak otellerin BT ve servis altyapılarına sızmanın bile mümkün olabileceği aktarılmakta.

Konuk ağırlama sistemleri genelde otellerin etkinlik merkezlerinde veya etkinlik düzenleyen tesislerde sıkça bulunmakta. Bu sistemlerin arayüzleri bir tablet veya dijtial kiosk üzerinde olabiliyor. Hem ziyaretçiler hem de katılımcılar bu cihazlar aracılığı ile kendilerini kayıt ettirmekte, isim etiketleri almakta, orada buluşacakları kişilerle iletişim kurabilmekte. Etkinlik ekibi ise alanda giriş yaparak göreve başlama veya bitiş saatlerini kayıt altına alabilmekte.

IBM X-force Red uzmanlarının inceledikleri konuk ağırlama sistemleri arasında güvenlik açıklarına sahip olanlar şu şekilde belirtilmiş:

  • Lobby Track Desktop: 7 güvenlik açığı (Üretici: Jolly Technologies)
  • eVisitorPass: 5 güvenlik açığı (Üretici: Threshold Security)
  • EasyLobby Solo: 4 güvenlik açığı (Üretici: HID Global)
  • Passport: 2 güvenlik açığı (Üretici: Envoy)
  • The Receptionist: 1 güvenlik açığı

Bulunan güvenlik açıklarının mekanda bulunan kötü niyetli kişiler tarafından, siber saldırı başlatmak amacıyla kullanılabileceği ifade edilmekte. Bir kez arka kapılar veya açıklar kullanılarak giriş sağlandığı anda; saldırganlar kayıtlı ziyaretçilerin isimlerine, kimlik numaralarına, telefonlarına ve benzeri kişisel verilere ulaşabiliyor. Hatta bazı açıklar sayesinde bu cihazların konuk kayıt arayüzleri de aşılabilmekte. Bu da cihazın arka planındaki işletim sistemini saldıranların istediği gibi kullanabilmesi için serbest bırakıyor. Bu sayede ağdaki diğer cihazlara, veritabanlarına ve eğer mümkünse tesisin bilgisayar ağına bile giriş sağlanabilmekte.

Saldırganlar cihazın ve yazılımın fonksiyonlarını ele geçirdikleri anda veri çalabilir, kayıtları değiştirebilir, sisteme istedikleri kişiyi kaydedebilir ve belli durumlarda otel odası dijital anahtarı bile üretebilirler denilmekte. IBM’in konuyla ilgili tüm belirtilen firmalara bilgi verdiği de ayrıca biliniyor.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.