Προς το περιεχόμενο

Εκατομμύρια δεδομένα από τα Booking.com & Hotels.com διέρρευσαν στο διαδίκτυο


trib

Προτεινόμενες αναρτήσεις

Η πλατφόρμα που μοιράζονται δύο από τις μεγαλύτερες υπηρεσίες στο χώρο των κρατήσεων, άφησε ορθάνοιχτη την πόρτα σε επιτήδειους & απατεώνες.

Η ξενοδοχειακή αγορά ίσως έχει μπροστά της να ανέβει ένα μεγάλο Γολγοθά και να αντιμετωπίσει ένα σοβαρό πρόβλημα ασφαλείας παράλληλα με την πανδημία. Η ιστοσελίδα Website Planet αναφέρει ότι η Prestige Software, η εταιρία που προμηθεύει με λογισμικό τις πλατφόρμες κρατήσεων ξενοδοχείων όπως τα Hotels.com, Booking.com και Expedia, άφησε εκατομμύρια δεδομένα επισκεπτών εκτεθειμένα στην υπηρεσία cloud αποθήκευσης Amazon Web Services S3. Τα αρχεία περιέχουν περισσότερες από 10 εκατομμύρια εγγραφές και συμπεριλαμβάνουν στοιχεία όπως ονόματα, πιστωτικές κάρτες, αριθμούς ταυτότητας και λεπτομέρειες κράτησης.

Δεν είναι σίγουρο για πόσο καιρό τα δεδομένα ήταν ανοιχτά διαθέσιμα ή αν κάποιος πήρε τελικά αυτά τα αρχεία. Η ιστοσελίδα Planet λέει ότι η «τρύπα» έκλεισε μια μέρα μετά την ενημέρωση στην υπηρεσία AWS με την Prestige να επιβεβαιώνει πως τα δεδομένα αυτά ήταν δικά της. Η ζημιά θα μπορούσε να είναι πολύ σοβαρή αν απατεώνες έχουν βρει τα δεδομένα. Η ιστοσελίδα Planet προειδοποίησε ότι αυτή η διαρροή θα μπορούσε να οδηγήσει σε πολλούς κινδύνους όπως απάτες με πιστωτικές κάρτες, κλοπή ταυτότητας και απάτες τύπου phishing. Οι απατεώνες, αν είναι αρκετά τολμηροί, θα μπορούσαν ακόμη και να κλέψουν τις διακοπές κάποιου άλλου χρήστη.

Πρακτικά, ο αντίκτυπος που μπορεί να έχει αυτή η διαρροή ίσως είναι περιορισμένος, δεδομένου ότι λίγοι ταξιδεύουν κατά τη διάρκεια της πανδημίας. Ωστόσο, αυτό δείχνει τους μεγάλους κινδύνους που ελλοχεύουν όταν μεγάλες πλατφόρμες στηρίζονται και εξαρτώνται από τρίτους παρόχους. Η ασφάλεια σε μία υπηρεσία ή πλατφόρμα είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της και μόλις μια ευπάθεια σε μια εταιρία είναι ικανή να θέσει σε κίνδυνο όλα όσα έχτιζε τα προηγούμενα χρόνια.


Διαβάστε ολόκληρο το άρθρο

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

  • Απαντ. 33
  • Δημ.
  • Τελ. απάντηση

Συχνή συμμετοχή στο θέμα

Οι απατεώνες, αν είναι αρκετά τολμηροί, θα μπορούσαν ακόμη και να κλέψουν τις διακοπές κάποιου άλλου χρήστη.

:D:D :D αυτό κι αν θα ήταν respect !

Δυστυχώς δεν μας λένε αν ήταν encrypted όλα αυτά ή αν ήταν σε plaintext. Αν ήταν, τότε "μικρό" το καλό. Αν όχι, τότε είναι για σφαλιάρες.

  • Like 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

5 λεπτά πριν, mariosCS είπε

:D:D :D αυτό κι αν θα ήταν respect !

Δυστυχώς δεν μας λένε αν ήταν encrypted όλα αυτά ή αν ήταν σε plaintext. Αν ήταν, τότε "μικρό" το καλό. Αν όχι, τότε είναι για σφαλιάρες.

Σπάνια είναι encrypted αλλά ούτε και σε plain text είναι αποθηκευμένα ποτέ. Συνήθως είναι κατακερματισμένα (hashed) με κάποιον αλγόριθμο όπως πχ ο md5.

Καλό είναι που και που να τσεκάρουμε το email μας ή/και τους κωδικούς μας στο https://haveibeenpwned.com/ για να ξέρουμε αν έχουμε πέσει θύμα μιας τέτοιας διαρροής. Επίσης, το password manager του Google account χρησιμοποιεί το τελευταίο 1 χρόνο περίπου το API της παραπάνω σελίδας οπότε κάθε φορά που αποθηκεύεις εκεί κάποιο κωδικό σου, σε ενημερώνει αν ο συγκεκριμένος κωδικός έχει εκτεθεί από κάποια διαρροή στο παρελθόν.

  • Like 1
  • Thanks 3
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δημοσ. (επεξεργασμένο)

Τοποθετήσεις όπως αυτή:

"Ωστόσο, αυτό δείχνει τους μεγάλους κινδύνους που ελλοχεύουν όταν μεγάλες πλατφόρμες στηρίζονται και εξαρτώνται από τρίτους παρόχους."

Δεν αρμόζουν.

Διότι ούτε επιχειρησιακή στρατηγική, ούτε οικονομική στρατηγική μπορεί να υλοποιήσει μια εταιρεία διεθνή ή παγκοσμίου βεληνεκούς δίχως τρίτους παρόχους - και οι μεγαλύτεροι στο χώρο δεν έχουν τη δυναμική να εξυπηρετήσουν direct δισσεκατομύρια κοινού, ενεργού ή δυνητικού. Ή το expertise να αναλάβουν όλες τις τρέχουσες τεχνολογικές εξελίξεις προς συμφέροντα αναβάθμισής τους.

Πάντα ελλοχεύουν κίνδυνοι, τόσο από τη μαμά εταιρεία, όσο από τον τρίτο πάροχο, όσο και από τον χρήστη. Υπενθυμίζοντας παράλληλα πως η συντριπτική πλειοψηφία του συνολικού αγοραστικού κοινού (B2C & B2B) ποτέ δεν αγοράζει direct, ειδικά σε SaaS σενάριο, για πολλούς λόγους.

Θα ήταν πολύ καλύτερα εάν ο κόσμος πληροφορείται για την ποιότητα των συνεργατών μιας εταιρείας, ώστε να κρίνει αποτελεσματικότερα τις επιλογές του, παρά να ασκείται προπαγάνδα με βάση ένα περιστατικό (και χωρίς να γνωρίσουμε ποτέ τα πραγματικά αίτιου αυτού).

Τέλος, αν δεν υπήρχαν τρίτοι πάροχοι, δε θα υπήρχαν πολλά πράγματα στην εποχή μας. Για παράδειγμα, φαντάσου να πρέπει να παραχωρήσεις 10Μ CAPEX στο δίκτυο πωλητών σου και όχι στο R&D σου. Όχι ότι εμπλέκεται σε σοβαρό R&D το Core Business της Priceline Booking, αλλά αναλογικά μιλώντας.

Επεξ/σία από snapshot-
  • Like 7
  • Thanks 2
  • Confused 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Το θέμα είναι ότι κάποιες εταιρίες δεν φαίνεται να μαθαίνουν από τα παθήματά τους. Με την Booking έχει ξαναγίνει, πέρυσι μου στείλανε μήνυμα να αλλάξω κωδικό λόγο υποκλοπής δεδομένων. Εφέτος πάλι τα ίδια. Εντάξει το ξέρουμε ότι μας έχουνε h€$m€ν0u$ αλλά 2 φορές μέσα σε δύο χρόνια μάλλον κάτι δεν πάει καλά. 

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

32 λεπτά πριν, mariosCS είπε

:D:D :D αυτό κι αν θα ήταν respect !

Δυστυχώς δεν μας λένε αν ήταν encrypted όλα αυτά ή αν ήταν σε plaintext. Αν ήταν, τότε "μικρό" το καλό. Αν όχι, τότε είναι για σφαλιάρες.

"Οι απατεώνες, αν είναι αρκετά τολμηροί, θα μπορούσαν ακόμη και να κλέψουν τις διακοπές κάποιου άλλου χρήστη."

Δηλαδή μπορεί να μπείς στο δωμάτιο και να βρείς μέσα άλλους; 😂

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Στο άρθρο αφήνει να εννοηθεί πως φταίει το AWS ενώ το original αρθρο αναφέρει ¨Data Storage Format: Misconfigured AWS S3 bucket¨ , που σημαίνει οτι μάλλον κάποιος δεν έκανε καλά την δουλεία του.!!

Και γι αυτό πάντα pay-pal και πάλι pay-pal. Μπορεί να μην το θέλουν οι εταιρείες γιατί έχει μεγάλη προμήθεια (πιο πρόσφατη που θυμάμαι είναι η beat που το έβγαλε), αλλα σε τέτοιες περιπτώσεις είσαι ήσυχος. 

Επίσης, γιατί κρατούσαν δεδομένα πιστωτικών καρτών;;;; 

  • Like 3
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Επισκέπτης
Αυτό το θέμα είναι πλέον κλειστό για περαιτέρω απαντήσεις.

  • Δημιουργία νέου...