İlk 10 seyahat ve konaklama şirketinin kamuya açık güvenlik ve diğer hizmetleri bulunmaktadır. bulut altyapısı güvenlik açıkları Yapılan araştırmalar, bunun müşterileri potansiyel güvenlik risklerine maruz bıraktığını ortaya koydu.
Güvenlik sağlayıcısı Cequence, insanların uçak bileti, otel, araç kiralama ve tatil paketleri için çevrimiçi rezervasyon yapmak için kullandıkları ilk 10 siteyi (Orbitz, Kayak, Skyscanner ve Travelocity dahil) araştırdı ve bunların hepsinde, site ziyaretçilerini tehlikeye atabilecek ve kendi işlerini ve itibarlarını olumsuz etkileyebilecek ciddi güvenlik açıkları bulunduğunu buldu.
Araştırmacılar, gezginlerin kullanabileceği en tehlikeli şirketleri isimlendirmedi ancak çevrimiçi sistemlerinin keşfedilen en ciddi güvenlik açıklarının %91’ini içerdiğini belirtti. Dahası, bu kusurların çoğu, saldırganların kullanıcılarla iletişimi kesip manipüle edebildiği aracı (MiTM) saldırılarına izin veriyor.
Cequence araştırmacılarının keşfettiği diğer güvenlik açıkları ise servis sağlayıcının web sitesinin gerçek altyapısıyla ilgili olup, bulut altyapısıyla ilgili yaygın sorunlar genel kullanıcılar için güvenli olmayan senaryolar yaratıyor.
Aslında, risk nereden kaynaklanırsa kaynaklansın, asıl mesele, tatil veya iş seyahatlerini çevrimiçi olarak rezerve eden kişilerin, özellikle saldırganların seyahat sitelerinin yoğun olacağını bildiği yoğun seyahat zamanlarında, farkında olmadan çeşitli şekillerde tehlikeye atılabilmesidir, diye belirtti Cequence’de tehdit araştırmaları direktörü William Glazier. Bu da, sağlayıcıların ve tüketicilerin, saldırganları uzak tutmak için sırasıyla altyapı ve çevrimiçi davranışta uygun değişiklikler yapmalarını ve dikkatli olmalarını gerektirir, dedi.
Glazier, “Araştırmamız, tüketiciler için finansal kayıp, kimlik hırsızlığı ve seyahat kesintileri ile işletmeler için itibar kaybı ve yasal sorunlar gibi ciddi tehditleri vurguluyor” dedi. bir basın açıklaması.
Mevcut Güvenlik Açıkları
Cequence’in seyahat organizasyonlarının arka uç altyapısında bulduğu kusurlar, yazılım veya donanımdan daha az açıktı güvenlik açıklarıonlar da mevcuttu. Onlar buldular yanlış yapılandırmalar ve birçok seyahat ve konaklama web sitesini destekleyen bulut altyapısını etkileyen diğer sorunlar.
10 şirketten sekizinin ortamlarında halka açık, üretim dışı veya dahili uygulama sunucuları vardı; bu sistemler genellikle BT personeli tarafından izlenmiyor ve yönetilmiyor. Cequence’e göre, şirketlerden birinde 300’e kadar olan bu varlıklar, tehdit aktörlerinin sisteme erişmesine olanak sağlıyor.
Tüm servis sağlayıcıları ayrıca, sistemlerin etkili bir şekilde yönetilebileceğinden daha hızlı dağıtıldığı bulut yayılımının belirtilerini gösterdi. Cequence, en iyi seyahat ve konaklama sitelerinin beş ila 21 farklı barındırma sağlayıcısı kullandığını buldu; Amazon Web Services en yaygın kullanılan bulut altyapısı sağlayıcısıdır, onu Google ve Microsoft takip eder.
Cequence’e göre bu yayılma, kamuya açık bulut örneklerinin çoğalmasına yol açıyor ve bulut ortamlarını yönetmenin karmaşıklığını vurguluyor. Ayrıca, kuruluşların ağlarında hangi teknoloji varlıklarının bulunduğunu bilmedikleri, hatta bunların güvenli olduğundan emin olmadıkları bir durum yaratıyor. Dahası, bu senaryo şirketleri kendi altyapılarından kaynaklanmayan ancak başka bir sağlayıcıdan aşağı doğru akan tedarik zinciri saldırılarına sürükleyebilir.
Outlook Daha İyi Güvenlik Gerektiriyor
Cequence, analiz edilen şirketlerin en kötü güvenlik suçlularının isimlerini açıklamasa da, hangi sitelerin en güvenliler arasında olduğunu paylaştı. Dahili uygulama veya üretim dışı sunucuları kilitleyen ve halka açık uygulamalara en az erişimi olanlar, sırasıyla: Orbitz ve Travelocity, Kayak ve Skyscanner’dı.
Bu arada, bu şirketler ayrıca, sitelerini ziyaret eden müşterileri etkileyebilecek kamuya açık uygulamalarında en az sayıda güvenlik açığına sahipti. Bu örnekte, Skyscanner en iyi performansı gösterdi, onu Kayak ve Orbitz izledi.
Yaz mevsimi sona ererken, yakın gelecekte seyahat ve konaklama şirketlerinin tüketiciler için çevrimiçi rezervasyon sistemlerinin daha güvenli olduğundan emin olmak amacıyla güvenlik incelemesi yapmalarını gerektiren iki önemli dönüm noktası bulunuyor.
Bunlardan biri, kredi kartı bilgilerinin işlenmesini yöneten ve Nisan 2025’te yürürlüğe girecek bir güvenlik standardı olan PCI DSS v4.0’ın gelişi ve çevrimiçi kredi kartı güvenliği için birkaç yeni gereklilik var. Şirketler o zamana kadar uyumluluğu sağlamalı, aksi takdirde para cezaları, yaptırımlar ve kesintilerle karşı karşıya kalabilirler kart işlemlerineCequence’e göre, itibarlarını zedeleyebilecek ve müşterilerle güven sorunları yaratabilecek veri ihlalleri riskinin artmasıyla birlikte.
Diğeri ise genellikle Ekim ayında başlayan ve saldırganları bir dizi dağıtılmış hizmet reddi (DDoS) saldırısı başlatmaya davet eden yoğun kış seyahat sezonudur. Gerçekten de, Kasım 2023’te seyahat siteleri, bir sonraki en yüksek ayda neredeyse iki kat daha fazla DDoS saldırısı topladı, Cequence kaydetti.