Chiunque voglia viaggiare per piacere (o lo debba fare per lavoro) prenota il proprio hotel attraverso le piattaforme online. Una pratica ormai comune, ma che espone ad una serie di rischi. La comodità delle prenotazioni digitali, infatti, comporta la necessità di trasmettere attraverso la Rete e di registrare su un DataBase una serie di dati appetibili per i criminali: data di nascita, residenza, numero di carta di credito e persino gusti personali dell’ospite di un hotel. Nello specifico (secondo Verizon) il 41% delle violazioni nel settore alberghiero mira proprio ai dati delle carte di credito.
Si tratta di informazioni che gli hacker possono utilizzare nei modi più svariati, anche per violare le difese di un’azienda. Secondo una ricerca di Bitdefender è addirittura in corso una campagna attiva di hacker indirizzata in modo specifico al settore dell’ospitalità per estorcere dati delle carte di credito, password e informazioni personali. Gli stessi ricercatori hanno rivelato che gli hacker utilizzano le vulnerabilità del motore di prenotazione IRM-NG in combinazione con backdoor e tecniche per compromettere la convalida delle password lato client (non sui server RDP). Il motore IRM-NG consente ai dipendenti di RDP di accedere ai propri clienti utilizzando un account particolare di amministrazione, con la convalida della password effettuata lato client e non sui server RDP.
Come funziona l’attacco agli hotel?
L’algoritmo di convalida della password si trova nella Dynamic Link Library (DLL) ed è debole. Se la DLL viene invertita, gli hacker possono generare la password giornaliera e autenticarsi con successo a qualsiasi resort/hotel e a diverse altre funzioni dell’applicazione, tra cui la gestione dei contenuti e il debug (che consente di leggere i log). Emerge inoltre che, come tattica di evasione della difesa, gli hacker hanno utilizzato il timestamp per integrarsi perfettamente con altri file legittimi all’interno della stessa cartella. Il tutto alterando dei timestamp dei file su un sistema informatico per manipolarne i tempi di creazione, modifica o accesso. Questo viene fatto per ingannare gli investigatori, oscurare attività dannose e creare confusione riguardo alla sequenza temporale degli eventi.
Ma i ricercatori sono andati oltre, scoprendo che, per accedere al database o autenticarsi con le API, esiste una raccolta di credenziali codificate all’interno di diverse librerie. Alcune di queste credenziali si basavano su password che venivano reimpostate quotidianamente, ma queste password possono essere facilmente generate analizzando una delle librerie DLL, una caratteristica necessariamente nota l’autore della minaccia.
Questo significa che, probabilmente, le informazioni necessarie per generare l’attacco sono state fornite da una persona interna, che conosce le dinamiche di generazione delle password.
Ma cosa è stato fatto per prevenire un simile fatto?
La prima azione da compiere, ancora una volta, è quella di prevedere adeguati corsi di formazione a tutti i livelli, perché proprio il personale interno rappresenta il punto più debole dei sistemi di protezione.
