Gondoljuk meg kétszer is, mielőtt megadjuk a bankkártya adatainkat, a legközelebbi utazásunk foglalásakor. Egy friss elemzés szerint ugyanis a húsz leglátogatottabb turisztikai weboldal közül csak kettő rendelkezik kellően erős biztonsági háttérrel.
Annak ellenére, hogy évente több millió utazási foglalást dolgoznak fel, és hatalmas mennyiségű személyes és fizetési adatot kezelnek, a legtöbb nagy utazási weboldal adatbiztonsági háttere bizonytalan.
Erre utalnak például a kiszivárgott hitelesítő adatok, a gyenge jelszóhasználati gyakorlatok és a rosszul konfigurált titkosítás – derül ki a Business Digital Index(BDI) legutóbbi elemzéséből.
A szakértők egyebek mellett azt fedezték fel, hogy az elemzés alá vont weboldalak mögött álló vállalatok felének az alkalmazottai olyan jelszavakat használnak újra, amelyeket korábbi adatvédelmi incidensek során már kiszivárogtattak.
Azt is megállapították, hogy a húsz weboldal közül 18-nak a korábban kiszivárgott hitelesítő adatai továbbra is megszerezhetők a dark webes piactereken.
A BDI kiberbiztonsági helyzetük alapján értékelte és rangsorolta a 20 leglátogatottabb utazási és turisztikai weboldalt, feltárva azokat a kritikus sebezhetőségeket, amelyek akár több millió felhasználót is érinthetnek.
Minden érintett pontszáma hét biztonsági kategória teljesítményét tükrözi: szoftverfrissítések, webes alkalmazásbiztonság, e-mail-védelem, a rendszer hírneve, tárhelyinfrastruktúra, SSL/TLS konfiguráció és az adatvédelmi incidensek előzményei.
A legbiztonságosabb turisztikai weboldalak
Elég szomorú, hogy az elemzésbe bevont oldalak közül csak kettő volt elég biztonságos ahhoz, hogy „A” minősítést kapjon kiberbiztonsági gyakorlatáért:
• A Trip.com 98/100-as pontszámmal vezeti a rangsort, robusztus biztonságot mutatva minden mért kategóriában minimális SSL-konfigurációs hibával.
• A Flightradar24 a második helyen áll 96/100-as pontszámmal, kiváló javításkezelést mutatva, és mindössze hat alkalmazotti hitelesítő adatot találtak a dark webes adatbázisokban.
A legnagyobb kockázatú cégek:
• A Skyscanner a legalacsonyabb, 55/100-as pontszámmal végzett, a kutatók 989 kiszivárgott, de még mindig hozzáférhető hitelesítő adatot és 24 kritikus vagy magas kockázatú sebezhetőséget fedeztek fel.
• A Marriott International és a Hilton egyaránt 66/100-as pontszámmal rendelkezett, a korábbi incidensekből származó több tízezer alkalmazotti hitelesítő adat továbbra is kering a földalatti piacokon.
• A Wetter.com, egy német időjárás-jelentési weboldal és a világ egyik leglátogatottabb időjárás-jelentési weboldala, szintén „F” osztályzatot kapott. A Wetter.com alkalmazottainak 15%-a újra használja korábban már feltört jelszavait.
Melyek a legfőbb kockázatok és erősségek
| Hiba/erősség | Mit jelent? | Miért fontos? |
| SSL-hibák | Problémák a weboldal titkosítási beállításaival (pl. lejárt tanúsítványok, gyenge titkosítás vagy helytelen konfiguráció) | A támadók bizalmas adatokat, például jelszavakat vagy hitelkártyákat lophatnak el. |
| Kiszivárgott hitelesítő adatok | Alkalmazotti vagy felhasználói e-mail címek és jelszavak, amelyek korábbi adatvédelmi incidensekben jelentek meg, és most az interneten vagy a sötét weben vannak kitéve. | Lehetővé teszi a bűnözők számára, hogy fiókokat vegyenek át, csalást kövessenek el, vagy további támadásokat indítsanak. |
| Jelszó újrafelhasználása | Az alkalmazottak ugyanazt a feltört jelszót használják több webhelyen. | Növeli a „hitelesítő adatok meghamisításának” kockázatát, ahol a támadók egyetlen kiszivárgott jelszót használnak több szolgáltatás eléréséhez. |
| E-mail hamisítás | A vállalat domainje nincs védve a megszemélyesítés ellen (hiányoznak a megfelelő hamisítás elleni nyilvántartások). | Lehetővé teszi az adathalászatot: a támadók olyan e-maileket küldhetnek, amelyek látszólag a vállalattól származnak. |
| Kritikus és magas kockázatú sebezhetőségek | Súlyos hibák a vállalat szerverein vagy webes rendszereiben. | Lehetővé tehetik a támadók számára az adatok ellopását, rosszindulatú programok telepítését vagy az oldal feletti irányítás átvételét. |
| CDN lefedettség | Globális, elosztott szerverek (Content Delivery Network) használata webes tartalom kézbesítéséhez. | Javítja a weboldal sebességét és biztonságát, valamint védelmet nyújt a DDoS (szolgáltatásmegtagadási) támadások ellen. |
| Felhőalapú megoldások bevezetése | A vállalati rendszerek egy része felhőalapú környezetben üzemel. | A felhőszolgáltatók gyakran jobb, következetesebb biztonsági ellenőrzéseket és gyorsabb frissítéseket kínálnak. |
