June 22, 2024

เครื่อง Self Check-in มีข้อบกพร่องด้านความปลอดภัย กระทบโรงแรมหลายพันแห่งใน 25 ประเทศ

นักวิจัยด้านความปลอดภัยระบุว่า ระบบเช็คอินด้วยตนเองของ Ariane Systems ที่ติดตั้งในโรงแรมหลายพันแห่งทั่วโลกมีช่องโหว่ด้านความปลอดภัยที่อาจทำให้เข้าถึงข้อมูลส่วนบุคคลของแขกและกุญแจของห้องอื่นๆ ได้

โดยเครื่องเหล่านี้ช่วยให้แขกจองและเช็คอินในโรงแรมได้ด้วยตนเอง จัดการกระบวนการชำระเงินผ่านระบบ POS พิมพ์ใบแจ้งหนี้ และจัดเตรียมการ์ด RFID ที่ใช้เป็นกุญแจห้อง

เมื่อเดือนมีนาคมที่ผ่านมา Martin Schobert นักวิจัยด้านความปลอดภัยของ Pentagrid ได้ค้นพบว่าเขาสามารถข้ามอินเทอร์เฟซ Ariane Allegro Scenario Player ที่ทำงานในโหมดคีออสก์บนเครื่องเช็คอินด้วยตนเองในโรงแรมที่เขาเข้าพักได้อย่างง่ายดาย และเข้าถึงหน้าจอเดสก์ท็อป Windows ที่ทำให้สามารถเข้าถึงข้อมูลผู้เข้าพักทั้งหมดได้เลย

เขาให้ข้อมูลว่า “การเข้าถึงเดสก์ท็อป Windows อาจทำให้มีการโจมตีเครือข่ายโรงแรมได้ รวมถึงการเข้าถึงข้อมูลที่จัดเก็บไว้ในเครื่องเทอร์มินัล ซึ่งรวมถึงข้อมูลส่วนบุคคล การจอง และใบแจ้งหนี้”

หน้าจอเดสก์ท็อป Windows ของเครื่อง

รายงานของ Pentagrid อธิบาย “ด้วยความสามารถในการแทรกและรันโค้ดโปรแกรม ทำให้ดูเหมือนว่าจะเป็นไปได้ที่จะสร้างกุญแจห้องสำหรับห้องอื่นๆ ได้ เนื่องจากฟังก์ชันการจัดเตรียมการ์ด RFID ก้ถูกติดตั้งอยู่ในเครื่องด้วย”

ในเบื้องต้นได้มีการแจ้งปัญหาดังกล่าวให้แก่บริษัทผู้ผลิตแล้ว แต่ก็ยังไม่ได้รับการตอบสนองที่เหมาะสมจากผู้ขายเกี่ยวกับเวอร์ชันเฟิร์มแวร์ที่แก้ไขปัญหานี้ โดยได้รับคำตอบเพียงสั้นๆ ว่าปัญหาได้รับการแก้ไขแล้ว ซึ่งปัจจุบันยังไม่ทราบว่าแอปพลิเคชันเวอร์ชันใดที่แก้ไขปัญหาได้ มีเครื่องเช็คอินกี่เครื่องที่ใช้เวอร์ชันที่มีช่องโหว่ และเครือโรงแรมใดได้รับผลกระทบ

คำแนะนำเบื้องต้นคือให้ผู้ประกอบการโรงแรมที่ใช้เครื่องของ Ariane Systems แยกเครื่องออกจากเครือข่ายโรงแรมและระบบสำคัญอื่นๆ และติดต่อผู้ขายเพื่อตรวจสอบว่าพวกเขากำลังใช้เวอร์ชันที่ปลอดภัยหรือไม่

ที่มา : bleepingcomputer