Киоски саморегистрации в отелях могут сливать информацию о гостях

В системах самостоятельной регистрации французской компании Ariane Systems, установленных в тысячах отелей по всему миру, обнаружена уязвимость в софте, которая позволяет выйти из режима киоска и получить доступ к рабочему столу и личной информации гостей, а также ключам от номеров.

Эти терминалы позволяют людям самостоятельно бронировать номера и регистрироваться в отеле, осуществлять процесс оплаты через POS-терминал, распечатывать счета и предоставлять RFID-карты, используемые в качестве ключей от номеров.

Еще в марте исследователь безопасности из компании Pentagrid AG Мартин Шоберт обнаружил, что он может легко обойти софт Ariane Allegro Scenario Player, работающий в режиме киоска на терминале саморегистрации в отеле, в котором он остановился, и получить доступ к рабочему столу Windows со всеми данными о клиентах. Благодаря возможности внедрения и выполнения программного кода можно создавать ключи от номеров, поскольку в терминале реализована функциональность предоставления RFID-ключей.

Несмотря на многочисленные попытки предупредить поставщика, эксперт по информационной безопасности до сих пор не получил от разработчиков киосков саморегистрации обновленного ПО, которое решило бы проблему. Шоберт получил лишь короткий ответ, в котором утверждалось, что проблемы устранены. В апреле Шоберт обнаружил аналогичную проблему в терминале самостоятельной регистрации немецкого отеля Ibis.

Уязвимые терминалы саморегистрации гостей обычно используются в отелях малого и среднего размера, где круглосуточная работа персонала по регистрации без выходных является дорогостоящей для бизнеса. По данным Ariane Systems, ее решения для самообслуживания в настоящее время используются в 3000 отелях в 25 странах, которые в совокупности имеют более 500 000 номеров. Среди их клиентов — треть из 100 крупнейших гостиничных сетей мира.