#ИССЛЕДОВАНИЯ
Получение персональных данных гостей отеля
Возможность утечки данных с сервера отеля
Нашей командой было проведено исследование уровня защищенности отелей в России. К сожалению большинство отелей не сильно заботятся о безопасности персональных данных своих гостей.
Опубликовать данное исследование побудила ошибка, позволяющая получить доступ к критически важным данным.
Алгоритм воспроизведения оказался настолько прост, что ошибка была выявлена в первые минуты исследования
Злоумышленнику достаточно инициировать оплату какой-либо услуги, после чего он может перейти на страницу личного кабинета в системе Битрикс, которая имеет стандартный адрес. В личном кабинете отображаются все заказы, которые содержат в себе паспортные данные иностранных гостей (США, Европа, Азия, ..).
Судя по всему, разработчики отеля решили оставить одну учетную запись на всех, при этом не передавая URL личного кабинета. Стоит ли считать это безопасным решением, учитывая, что URL личного кабинета в системе Битрикс стандартный?
Наша команда проводила неоднократные попытки связаться с представителями отеля, но ни к чему положительному данные попытки не привели и ошибка актуальна на момент публикации.
Если заказчик работает с ПД клиентов или сотрудников, находящихся на территории Европейского союза (даже если заказчик зарегистрирован в РФ), то и заказчик и клиент должны соблюдать требования к основаниям обработки ПД, предусмотренных Регламентом о защите персональных данных Европейского союза GDPR.
За нарушение GDPR предусмотрен штраф до 20,000,000 евро или до 4% от годового оборота компании.
К сожалению многие компании в России не охотно идут на контакт и не желают исправлять ошибки, либо руководители ИТ-отделов бояться сообщить высшему руководству о найденных уязвимостях в системе.

Следующие статьи


Ваш личный чек-лист для повышения безопасности персональных данных

Исследование безопасности в сети Instagram

Исследование мошеннической схемы по краже заявок

Исследование сервисов коротких ссылок на безопасность

Наши исследования и идеи