Hacking Hotelaria: Como lutar contra os ciber-criminosos alvejando Viajantes de Negócios

Tradicionalmente, as instituições financeiras têm permanecido como os melhores alvos de criminosos cibernéticos em todo o globo. Mas ultimamente, os hackers estão de olho em tantas outras coisas , que seria normalmente considerado indigno de hacking.  Eles estão até mesmo encontrando novas formas de rentabilizar os dados recolhidos através de tais ataques.

Durante os últimos meses, na United Airlines, American Airlines, Park ‘N Fly, Starwood Hotel, e Hilton foram todos relatados violações (não necessariamente ataques à sua rede ou sistemas, mas violações decorrentes de ataques a outros negócios). Isto indica claramente que indústria hoteleira, especialmente os viajantes de negócios, está enfrentando a maior ameaça à segurança da informação.crime cibernetico

Aqui está uma análise de alguns ataques recentes:

  • Em 03 de novembro de 2014, hackers supostamente descontou no Hilton HHonors pontos de recompensa através de uma negação de serviço distribuída (DDoS). Hilton mais tarde adicionou recursos de segurança adicionais para evitar tais ataques.
  • Em 12 de janeiro de 2015, relatos da imprensa revelou que os ciber-criminosos obtiveram acesso a American Airlines (AAdvantage) e United Airlines (MileagePlus), contas de clientes como programa de milhas e roubavam suas milhas. Eles têm explorado as milhas roubadas para viagens gratuitas e upgrades. As companhias aéreas mais tarde anunciou medidas compensatórias, como a restauração de milhas perdidas e um ano serviço de crédito-relógio.
  • Em 13 de janeiro de 2015 Park ‘N Fly, o líder em preços acessíveis fora do local de estacionamento do aeroporto, enfrentou um comprometimento da segurança envolvendo os dados do cartão de pagamento processadas através do seu site de e-commerce. Dados potencialmente comprometidos incluem números de cartões, nomes de usuário, endereços de cobrança, endereços de email e números de telefone.
  • Em 22 de janeiro de 2015, os ciber-criminosos aparentemente conseguiram roubar Starwood SPG pontos de recompensa de contas de hóspedes e começaram a vender as recompensas na internet. Starwood anunciou que pontos perdidos por fraude seria reembolsado.

Estes poucos casos que foram relatados nos meios de comunicação indicam claramente que os viajantes de negócios estão enfrentando a maior ameaça para a segurança da informação.
A Associação Empresarial Global Travel projetou que os gastos de viagens de negócios  giraria em torno de US 310 bilhões de dólares no ano fiscal de 2015.Os viajantes de negócios, muitas vezes utilizam serviços como upgrades rápidos em voos, quartos de hotel, táxi e outros. Eles também usam cartões de crédito corporativos que têm altos limites de crédito para operações durante a sua viagem de negócios. A indústria hoteleira, por sua vez, fornece-lhes programas de fidelidade personalizados em que eles podem ganhar e resgatar pontos de recompensa.

Esses fatores atraíram os ciber-criminosos em direção aos viajantes de negócios. Os programas de fidelidade e pontos de recompensa são certamente atraente, mas os usuários muitas vezes não dão muita importância aos aspectos de segurança das contas de programas de fidelidade. Eles tendem a usar senhas fáceis de lembrar e reutilizam os mesmo conjunto de senhas em todos os lugares.
As senhas expostas em algum lugar permitem que hackers entrem em contas de programas de fidelidade com facilidade.

Não apenas os viajantes de negócios, mas também as divisões de TI de algumas das organizações do setor hoteleiro optam por medidas de segurança negligentes ao lidar com os dados dos clientes relacionados com os programas de fidelização. Armazenamento e transmissão de dados em texto simples, e a falta de controles de acesso internos para os recursos de TI que lidam com dados de clientes e falta de controle efetivo das atividades da rede são comuns nas divisões de TI.
Combater a  ciberataques:
Embora os hackers seguem diferentes técnicas e vetores de ataque, eles são principalmente focados em roubar credenciais. Senha de segurança está na raiz de vários ataques.
Nós temos enfatizado uma e outra vez os males da reutilização de senha. Os viajantes de negócios devem atribuir uma senha única para cada site e aplicativo. Quando se há notícia de uma senha exposta ou hackeada, eles podem alterar a senha para esse site ou aplicativo apenas. No entanto, isso cria o problema de se lembrar de todas aquelas senhas únicas. Divisões de TI de empresas que lidam com dados de clientes devem meticulosamente rever a forma como eles armazenam, compartilham e usam senhas de recursos de TI em suas organizações. Gerenciamento de senhas não é apenas sobre como guardar senhas. Na verdade, abrange uma ampla gama de atividades, incluindo a consolidação, segurança, controle, gerenciamento e monitoramento de contas.

Gostaríamos de reiterar as seguintes práticas recomendadas para o Departamentos de TI:

  • Reutilização de senha é desastroso e deve ser rigorosamente evitado.
  • Recursos de TI e aplicações web devem ser atribuídas com senhas fortes e únicas.
  • Senhas administrativas, que concedem privilégios de acesso ilimitado aos ativos de TI, nunca devem ser armazenadas em texto simples em fontes voláteis como post-its, planilhas, impressos e documentos de texto.
  • Os usuários devem ter acesso apenas às senhas dos recursos específicos que são necessários para realizar seu trabalho.
  • Quando as senhas devem ser compartilhados com outras pessoas, o mecanismo de repartição deve seguir um fluxo de trabalho adequada, que inclui 1) mecanismo de aprovação para solicitações de senha, 2) o acesso por tempo limitado, e 3) reset automático após o uso.
  • Todas as senhas devem ser alteradas em intervalos periódicos. Política sde TI da organização devem ser aplicados.
  • Acesso a contas confidenciais devem ser concedidos sem revelar as senhas subjacentes. Em outras palavras, os usuários devem ser capazes de acessar os recursos sem ver as senhas em texto simples.
  • Todas as atividades realizadas pelos usuários em recursos altamente sensíveis devem ser monitoradas e gravadas em vídeo. Qualquer atividade suspeita deve ser encerrada.
  • Abrangentes, registros de auditoria à prova de violação deve ser mantido sobre “quem, o quê, onde e quando” de acesso.

Para os indivíduos das empresas, a abordagem manual para gerenciamento de senhas seria complicado.
As melhores práticas podem ser facilmente aplicadas em organizações com a ajuda da solução gerenciadora de senha e acesso privilegiado , como ManageEngine Password Manager Pro.

É uma alternativa inteligente e eficiente utilizar o Password Manager Pro da ManageEngine para monitorar suas senhas e protege-las de todos os pontos citados acima. Se deseja conhecer o quanto antes esta solução, entre em contato com a equipe ACSoftware, teremos a honra em lhe auxiliar.

ACSoftware – Distribuidor e Revenda ManageEngine no Brasil.

Fone: (11) 4063 1007 – Vendas: (11) 4063 9639

Deixe um comentário

Blog ACSoftware - ManageEngine