А между тем индустрия гостеприимства превратилась в настоящий рай для киберпреступников. Новое исследование NordPass в сотрудничестве с NordStellar показывает, что многие предприятия сферы гостеприимства защищают свои цифровые системы шокирующе слабыми паролями.

Исследование показало, что предприятия сферы услуг систематически игнорируют базовые принципы защиты информации, подвергая риску личные данные гостей и операционную деятельность бизнеса. От платформ бронирования отелей до ресторанов исследование выявило привычку отрасли повторно использовать предсказуемые, устаревшие или специфичные для бренда пароли.

"В отелях и ресторанах гости ожидают отличного обслуживания, а не того, чтобы их персональные данные были в меню. Когда для защиты систем бронирования, POS-терминалов или учетных записей сотрудников используются слабые пароли, это открытое приглашение для киберпреступников", - заявил Каролис Арбачаускас, руководитель отдела бизнес-продуктов NordPass.

Примитивные комбинации

Заведения повсеместно используют примитивные комбинации символов в системах бронирования, терминалах оплаты и учетных записях персонала. Еще опаснее то, что многие предприятия применяют идентичные или незначительно измененные пароли для различных платформ. Подобная практика создает эффект домино - компрометация одной учетной записи автоматически открывает доступ ко всей корпоративной инфраструктуре.

Исследование выделило пять категорий наиболее популярных паролей в гостиничном бизнесе. Первую группу составляют простейшие числовые последовательности вроде "123456789", вторую - общие термины с добавлением года ("Reservations2021!"), третью - названия брендов или сетей ("Ramada@123"). Четвертая категория представлена паролями с кажущимися сложными узорами вроде "P@ssw0rd", а пятая включает комбинации, связанные с должностными обязанностями сотрудников ("developer2").

Это не просто примеры - они появляются в 20 самых часто используемых паролях NordPass в сфере гостеприимства.

Присутствие множественных вариантов слова "резервирование" и терминов, связанных с брендами, свидетельствует об отсутствии четких корпоративных стандартов парольной гигиены. Сотрудники самостоятельно придумывают учетные данные, руководствуясь удобством запоминания, а не принципами информационной безопасности. Результатом становится хаотичная мозаика из слабых паролей, связанных общей тематикой деятельности компании.

Хакерам не приходится прилагать значительные усилия

У слабых и шаблонных паролей сегодня нет никаких шансов устоять перед атаками хакеров. Они с легкостью взломают систему, используя либо перебор по словарю, когда программы подбирают комбинации из распространенных слов из словаря, учитывая часто встречающиеся сочетания, либо брутфорс-атаки. Такой метод взлома предполагает использование автоматически настроенных программ, которые перебирают все возможные сочетания символов, пока не выйдут пароль. Если с длинным паролем брутфорс-алгоритмам, скорее всего, будет довольно сложно справиться, то короткий шифр они победят достаточно быстро.

Исследователи отмечают, что предприятия в сфере обслуживания обрабатывают особенно чувствительные категории персональных данных: номера кредитных карт, паспортные сведения, маршруты поездок и личные предпочтения клиентов. Современные системы бронирования интегрируются с десятками внешних сервисов - платежными системами, программами лояльности, туристическими агентствами и аналитическими платформами.

Компрометация систем предприятия открывает доступ ко всей экосистеме партнерских связей, мультиплицируя масштаб потенциального ущерба и превращая каждое предприятие в потенциальную точку входа для атак на смежные отрасли.