Нашей командой было проведено исследование уровня защищенности отелей в России. К сожалению большинство отелей не сильно заботятся о безопасности персональных данных своих гостей.
Опубликовать данное исследование побудила ошибка, позволяющая получить доступ к критически важным данным.

Злоумышленнику достаточно инициировать оплату какой-либо услуги, после чего он может перейти на страницу личного кабинета в системе Битрикс, которая имеет стандартный адрес. В личном кабинете отображаются все заказы, которые содержат в себе паспортные данные иностранных гостей (США, Европа, Азия, ..).

Судя по всему, разработчики отеля решили оставить одну учетную запись на всех, при этом не передавая URL личного кабинета. Стоит ли считать это безопасным решением, учитывая, что URL личного кабинета в системе Битрикс стандартный?
Наша команда проводила неоднократные попытки связаться с представителями отеля, но ни к чему положительному данные попытки не привели и ошибка актуальна на момент публикации.

Если заказчик работает с ПД клиентов или сотрудников, находящихся на территории Европейского союза (даже если заказчик зарегистрирован в РФ), то и заказчик и клиент должны соблюдать требования к основаниям обработки ПД, предусмотренных Регламентом о защите персональных данных Европейского союза GDPR.

К сожалению многие компании в России не охотно идут на контакт и не желают исправлять ошибки, либо руководители ИТ-отделов бояться сообщить высшему руководству о найденных уязвимостях в системе.