btbilgi

2018 yılı konaklama endüstrisinin siber saldırılara karşı ne kadar zayıf olduğunu ortaya koyan sene oldu. Müşterilerin ayrıntılarına ödül programı ile erişilebilen Radisson zinciri vakası ve müşteri rezervasyon sisteminde ciddi bir güvenlik açığı keşfedilen Mariott’un kayıt sistemi gibi veri ihlalleri bu örneklerden sadece ikisi. Şimdi siber güvenlik firması Symantec yeni bir araştırma ile, otel web sitelerinin üçte ikisinin müşterilerin kişisel bilgilerini farketmeden üçüncü parti şirketlere sızdırdığını aktarmakta.

Araştırma raporuna bakılırsa, oteller tarafından kullanılan rezervasyon sistemlerinin çoğu dolandırıcıların cep telefonu ve pasaport numaraları gibi bilgilere erişmesine izin verebilmekte. Bu sistemlerdeki veri sızıntılarının, genellikle rezervasyonlar için gönderilen onay e-postalarından kaynaklandığı belirtilmiş. Bu e-postalarda rezervasyon ile ilgili güvenli olmayan doğrudan bağlantılar bulunduğu ifade ediliyor. Rapora göre kötü niyetli kişiler bu türden e-postaların sahtelerini hazırlayıp kullanıcılara yollayabilir, rezervasyon değiştirme veya iptal etme gibi görünen sahte işlemler gerçekleştirebilir.

Firmanın kıdemli tehdit uzmanı Candid Wueest ve ekibi, bu araştırma için 54 ülkeden 1.500 otelin web sitesini test etmiş. Yapılan denemeler sonucunda otel web sitelerinin üçte ikisinin (yüzde 67) sorunlar barındırmakta olduğunu tespit etmişler. Saptanan güvenlik açıklarının direk olarak AB’nin GDPR düzenlemelerine aykırı olduğu belirtilmekte. Bu açıklar otel müşterilerinin kişisel verilerini yeterince koruyamadığı için çok büyük bir problem teşkil ediyorlar.

Otel web siteleri müşteri verilerini sızdırmakla suçlanıyorWueest resmi açıklamada, “Neredeyse bir yıl önce yürürlüğe girmiş olan GDPR’a rağmen böyle bir sorun tespit edilmiş olması, kuruluşların veri sızıntı vakalarına nasıl yanıt vereceğini bilmediğini ortaya koyuyor” diyor. Sitelerin sızdırdığı kritik bilgiler arasında müşterinin tam ismi, e-posta adresi, ev adresi, mobil telefon numarası, kredi kartı bilgilerinin çeşitli parçaları ve pasaport numarası yer alabiliyor.

Test edilen web sitelerinin yarısından fazlası (yüzde 57), müşterilere rezervasyon bilgilerini görebileceği bir adrese direk bağlantı vermekte. Bu sayede müşteriler otel web sitelerine giriş yapmak zorunda kalmadan, doğrudan rezervasyonlarını görebiliyorlar. Sorun da burada başlıyor. Bu direk bağlantılar statik bir adres anlamına gelmekte. Yollanan erişim linkinde rezervasyon referans kodu da gönderilmekte. Tek başına sorun olmayacak bu durum, web sitelerinin reklam veya başka amaçlarla üçüncü parti şirketlere sitelerinde yer vermesi yüzünden sıkıntı yaratabiliyor. Müşterinin yönlendirildiği sitelerde tonla farklı yerden gelen kodlar çalışmakta ve gizlenmiş kötü niyetli bir yazılım, müşterinin rezervasyon kodunu çalarak işlem yapmak için bir açık yaratabilmekte.

Symantec raporunda bu türden birçok başka güvenlik açığı senaryolarına daha yer vermiş. Ne yazık ki otel sistemleri bu açıkları çözemediği sürece, tüm müşterilerinin kişisel verilerini siber suçlulara kendi elleri ile veriyor olabilirler.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.