Hotel check-in kiosk kan door enkele invoer fout gastgegevens lekken

Microsoft Security





Kwetsbaarheid in Check-In Kiosk

Kwetsbaarheid Ontdekt in Check-In Kiosk van Ariane Systems

Onderzoekers hebben een aanzienlijke kwetsbaarheid ontdekt in een veelgebruikte check-in kiosk, vervaardigd door Ariane Systems. Deze kwetsbaarheid stelt aanvallers in staat om gevoelige gastgegevens te achterhalen. Hoewel Ariane Systems heeft verklaard dat het probleem inmiddels is verholpen, zijn er geen specifieke details gegeven over in welke versie de oplossing is doorgevoerd.

Gebruik van de Check-In Kiosk

De check-in kiosk wordt wereldwijd door drieduizend hotels in 29 landen ingezet en bedient daarmee ongeveer een half miljoen ‘self-served rooms’. De terminals bieden gasten de mogelijkheid om snel en eenvoudig kamers te reserveren en in te checken. Daarnaast kunnen gasten zoekopdrachten uitvoeren op bestaande reserveringen met behulp van hun namen.

Details van de Kwetsbaarheid

De kwetsbaarheid werd ontdekt toen bleek dat de applicatie vastloopt bij het invoeren van een naam met een enkele quote. Hierdoor kunnen gebruikers de kioskmode verlaten en toegang krijgen tot de onderliggende Windows-desktop. Op deze desktop zijn reserveringen en facturen met gastgegevens te vinden.

Mogelijke Gevolgen

Volgens onderzoekers van Pentagrid kunnen aanvallers potentieel ook kamersleutels voor verschillende kamers genereren, aangezien de RFID-functionaliteit in de kiosk is ingebouwd. Verder zouden aanvallers aanvallen kunnen uitvoeren op het achterliggende hotelnetwerk, wat de algehele beveiliging van het hotel ernstig kan compromitteren.

Reactie van Ariane Systems

De onderzoekers hebben Ariane Systems begin maart van deze kwetsbaarheid op de hoogte gebracht. Na een moeizaam communicatieproces vond er in april telefonisch overleg plaats. Eind mei vroegen de onderzoekers om een update, maar kregen geen reactie. Ariane Systems claimt nu dat het probleem verholpen is, hoewel niet bekend is in welke softwareversie dat precies is gedaan.

Aanbevelingen voor Hotels

Hotels wordt sterk aangeraden om de laatste softwareversie te gebruiken om zo goed mogelijk beschermd te blijven tegen mogelijke aanvallen. Verder is het aan te raden de check-in terminal te isoleren van het hotelnetwerk en Windowsdomein, om mogelijke aanvallen op het netwerk te voorkomen.




Bron: Security.nl