Получение персональных данных гостей отеля
Опубликовать данное исследование побудила ошибка, позволяющая получить доступ к критически важным данным.
Алгоритм воспроизведения оказался настолько прост, что ошибка была выявлена в первые минуты исследования.
Злоумышленнику достаточно инициировать оплату какой-либо услуги, после чего он может перейти на страницу личного кабинета в системе Битрикс, которая имеет стандартный адрес. В личном кабинете отображаются все заказы, которые содержат в себе паспортные данные иностранных гостей (США, Европа, Азия, ..).
Судя по всему, разработчики отеля решили оставить одну учетную запись на всех, при этом не передавая URL личного кабинета. Стоит ли считать это безопасным решением, учитывая, что URL личного кабинета в системе Битрикс стандартный?
Наша команда проводила неоднократные попытки связаться с представителями отеля, но ни к чему положительному данные попытки не привели и ошибка актуальна на момент публикации.
Если заказчик работает с ПД клиентов или сотрудников, находящихся на территории Европейского союза (даже если заказчик зарегистрирован в РФ), то и заказчик и клиент должны соблюдать требования к основаниям обработки ПД, предусмотренных Регламентом о защите персональных данных Европейского союза GDPR.
За нарушение GDPR предусмотрен штраф от 1% до 4% от годового оборота компании.
К сожалению многие компании в России не охотно идут на контакт и не желают исправлять ошибки, либо руководители ИТ-отделов бояться сообщить высшему руководству о найденных уязвимостях в системе.