新聞 > 科教 > 正文

住酒店最大的隱患 其實還不是針孔攝像頭偷拍

不少媒體曾報道過,有人因為連上了和酒店名稱類似的「釣魚 WiFi」,從而被盜取郵箱賬號密碼、銀行卡支付密碼等個人信息的事情,但如果黑客能輕易入侵酒店的 WiFi伺服器,那麼住客將更加防不勝防。

不久前河南鄭州一家酒店被曝出在客房內安裝針孔攝像頭,引起軒然大波,包括愛范兒在內的一眾媒體都試圖找到防偷拍的方法,結果都不太樂觀,大部分人也不可能每次住酒店都將每個角落都仔細檢查一遍。

然而,針孔攝像頭偷拍可能不是酒店最大的安全隱患。據彭博社報道,酒店已經成為黑客最愛其中一個攻擊目標,而一群白帽子用實地測試說明要入侵一家酒店是多麼容易。

跟偷拍一樣,直到自己的私隱被放到黑市上販賣,顧客可能全然不知。而比起偷拍,這背後有着更龐大的地下市場,這也意味能給消費者造成更大的損失。

一個魚缸就能成為攻擊入口,黑客入侵酒店比想像中容易

歐洲的一家酒店,幾個穿着西裝,看起來像商務人士正在辦理入住,其中一個人在前台附近來回走動,他發現這家酒店使用的是過時的 POS(銷售點)軟件,於是打開一款叫做 Fing的網絡掃描軟件,這是黑客常用的工具之一。

當酒店將他們的房間準備好,他們已經找到酒店網站上的公開代碼,並通過插件重新編譯,獲取了管理員權限。

這幾位真實身份其實是白帽子(正面的黑客),他熱衷於發現網絡系統的漏洞,但是不會惡意利用,這一次他們把目光放在酒店上。

他們曾在紐約的酒店進行過類似的測試,他們將連接智能電視的網線插到筆記本電腦後,就輕易進入酒店物業管理系統(PMS),如果是連鎖酒店,這意味着黑客可以看到集團旗下所有酒店顧客預訂、入住、客房分配等信息,順帶獲取顧客用於支付的信用卡數據。

▲圖片來自:HuffPost

據這些白帽子介紹,黑客一般不會直接入侵住客的個人設備,而是想方設法接入酒店工作人員使用的內網,隨着酒店的智能化程度越來越高,要找到這樣的入口並不難。

去年曾在拉斯維加斯發生過這樣一件事,安全級別極高的賭場電腦系統,卻因為一個魚缸被黑客入侵。

▲圖片來自:Washington Post

原來是賭場使用的是智能魚缸,能通過電腦自動監控水溫和水質,而員工忽略了跟這個魚缸相連的也是賭場的電腦系統,這有可能讓黑客入侵眾多「土豪」賭客的銀行賬戶,所幸賭場僱傭的網絡安全公司及時發現。

如果在酒店就更加容易了,有白帽子表示即便酒店沒有聯網的電視也沒有網線,但黑客卻可能從窗簾中找到突破口,一些酒店使用可以遙控開合的智能窗簾,需要在窗簾上安裝一個聯網的設備,這也能成為黑客的後門。

更糟糕的是,酒店還時常主動給黑客們大開方便之門。很多酒店會將酒店物業管理系統(PMS)跟公共互聯網相連,讓黑客得以在千里之外闖入。

網絡安全公司 Coalition的 CEO Joshua Motta在網上搜索了支持在線服務的 Opera(一種酒店管理系統)頁面,找到了13000多個這樣的暴露在互聯網的系統,遍佈全球各個國家。

突然之間,這些系統的安全級別就降到一般網絡賬戶和密碼這種程度。

這無疑給黑客降低了不少難度,去年騰訊一名工程師在新加坡參加網絡安全會議期間入侵了所在酒店的 WiFi伺服器,讓人意想不到的是,這位工程師是通過 Google搜到酒店 WiFi系統的默認用戶名和密碼,最後才成功入侵酒店 WiFi伺服器的數據庫。

雖然這位工程師將這個黑客行為發佈到個人博客後,遭到了法院起訴並罰款5000美元,但也暴露了很多酒店普遍存在的安全漏洞。

不少媒體曾報道過,有人因為連上了和酒店名稱類似的「釣魚 WiFi」,從而被盜取郵箱賬號密碼、銀行卡支付密碼等個人信息的事情,但如果黑客能輕易入侵酒店的 WiFi伺服器,那麼住客將更加防不勝防。

為什麼酒店會成為黑客最愛的目標?

白帽子在酒店的測試只是為了找到安全漏洞,而真正的黑客們揮一揮衣袖,盜走的可能就是數以億計的用戶數據。

去年11月萬豪集團旗下的喜達屋酒店的客戶預訂數據庫遭到黑客入侵,多達3.83億名客戶的個人信息數據被竊取,包括1850萬個加密護照號碼,525萬個未加密的護照號碼,910萬個加密的支付卡號以及當時仍有效的38.5萬張卡號。

▲圖片來自:Al Jazeera

網絡安全專家張百川在接受《新京報》採訪時表示,這種攻擊屬於 APT(高級可持續性威脅攻擊),黑客在入侵後不破壞數據,而是潛伏下來以獲取更多數據,謀取更多利益。

除了萬豪集團,凱悅、希爾頓、洲際等國際知名連鎖酒店都曾發生過由於黑客攻擊造成的大規模數據泄露。

為什麼酒店會成為黑客最愛的攻擊目標之一,一大原因就是酒店往往擁有更多高端顧客資料,尤其是五星級酒店,這意味着能在黑市中賣得更貴。

在萬豪的數據泄露事件中,忠誠度計劃帳戶是其中一個重災區。因為這些數據對於黑客來說價值更高,根據信息服務公司 Experian Plc的數據,一個普通用戶的社保賬號在暗網的售價為1美元,而忠誠度計劃賬戶的售價高達20美元。

為了方便客戶兌換積分,酒店會儘量簡化忠誠度計劃賬戶的安全驗證,而顧客往往也不會經常檢查,因此被盜用後可能也不會被發現,這已經發展成為一條成熟的灰色產業鏈。

另一個重要原因,正如上文提到的,就是酒店的網絡安全級別一般都不高。對於黑客來說酒店就是個價值連城卻掛了一把小破鎖的金庫,這自然容易引人犯罪了。

▲圖片來自:Kiplinger

連萬豪這種高端酒店都是如此,更不用說一般的快捷酒店了。網絡安全專家張百川表示多數酒店都沒有強有力的防範、對抗黑客的手段。

有的會買傳統防火牆,但傳統防火牆對新型攻擊幾乎無能為力。Web安全、郵件安全、數據庫安全、WiFi安全,都是問題。

既然酒店的顧客數據這麼值錢,為什麼酒店不使用更高級別的網絡安全系統呢?一個重要原因是,在很很多酒店經營者來說,更願意將錢花在看得見摸得着的東西,比如新的地毯和更高清的電視,而不是網絡安全這些用戶難以感知的事情上。

萬豪數據泄露事件最近有了新進展,英國信息專員辦公室(ICO)打算對萬豪集團處以9920萬英鎊(約合8.5億 RMB)的罰款,萬豪在表示「非常重視客人信息的私隱和安全」後,決定提出上訴,但沒有提到是否會升級自己的安全防護系統。

另外一個讓人擔憂的事是,越來越多酒店開始引入更多的智能設備,人臉識別、語音助手、手機房卡開始成為一些酒店的新賣點,還有調查數據顯示18%的酒店經營者計劃使用物聯網平台對酒店進行升級。

不可否認這些智能設備能給消費者帶來更好的入住體驗,而 IoT也被認為會帶來萬物互聯的未來,讓包括酒店在內的多個行業收益,但如果酒店的網絡安全系統沒有跟上,則可能釀成更大的風險。

下一個比萬豪數據泄露更嚴重的黑客攻擊事件,或許就正在發生。

責任編輯: 夏雨荷  來源:愛范兒 轉載請註明作者、出處並保持完整。

本文網址:https://hk.aboluowang.com/2019/0714/1315178.html