بقلم: كانديد ويست، باحث في شركة سيمانتك
بينما كنت أقوم أخيراً بعمليات بحث مكثّفة حول تعرض المواقع الإلكترونية الخاصة بعددٍ من الفنادق لهجمات formjacking، فقد واجهتُ مشكلة تتمثل في احتمالية سرقة بياناتي أنا شخصياً وبيانات عملاء آخرين. وقمتُ باختبار عددٍ من المواقع الإلكترونية، بما في ذلك مواقع تابعة لأكثر من 1500 فندق من 54 دولة حول العالم، وذلك بهدف دراسة نطاق انتشار هذه المشكلة، حيث تبيّن لي أن موقعين لكل ثلاثة مواقع، أو ما يعادل 67% من هذه المواقع، تقوم عن غير عمدٍ بتسريب أكواد مرجعية خاصة بحجوزات عملائها إلى مواقع تابعة لجهات أخرى، مثل وكالات إعلانات وشركات تحليل بيانات. وتحظى جميع المواقع الإلكترونية التابعة لهذه الجهات بسياسة خصوصية، وهو ما لم تعلن عنه بشكل صريح.
المواقع الإلكترونية لشركات الفندقة والضيافة ربما قامت بتسريب تفاصيل حجز الخدمات الأمر الذي يعني اطلاع جهات خارجية على بيانات المستخدمين الشخصية، أو إتاحة الفرصة لها بإلغاء الحجوزات.
هناك بعض المواقع التي تحظى تستحق الإشادة، نظراً لأنها لم تكشف سوى عن قيم رقمية وتاريخ الإقامة في الفندق، ولم تفشِ أية بيانات شخصية. إلا أن معظم المواقع الإلكترونية قامت بتسريب هذه البيانات الشخصية، والتي تشمل:
- اسم العميل بالكامل
- البريد الإلكتروني
- العنوان البريدي
- رقم الهاتف المحمول
- آخر أربعة أرقام لبطاقة الائتمان، ونوع البطاقة، وتاريخ انتهاء البطاقة
- رقم جواز السفر
فما سبب هذه التسريبات؟
أكثر من نصف (57%) المواقع الإلكترونية التي قمتُ باختبارها، تقوم بإرسال رسالة بريد إلكتروني لتأكيد الحجز إلى عملائها والتي تحتوي على رابط للتوجيه إلى صفحة الحجز. ويتم ذلك من باب تسهيل الإجراءات على العملاء، حيث يتم توجيههم مباشرةً إلى حجوزاتهم دون الحاجة إلى تسجيل الدخول في الصفحة.
روابط غير مشفّرة
يمكن القول إن مخاطر الخصوصية في هذه الحالات منخفضة نظراً لأن البيانات تتم مشاركتها فقط مع مزودي الطرف الثالث الموثوق بهم من قِبل مواقع الويب. ومع ذلك، فإن ما أثار قلقي أنني وجدتُ أن أكثر من ربع المواقع الإلكترونية للفنادق (29%) لم تقم بتشفير الرابط الأولي المرسل عبر البريد الإلكتروني والذي يحتوي على بيانات التعريف. لذلك يمكن للمهاجم المحتمل اختراق بيانات اعتماد العميل الذي ينقر على الرابط التشعبيHTTP في البريد الإلكتروني، على سبيل المثال لعرض أو تعديل حجزه. وقد يحدث ذلك في النقاط النشطة بالأماكن العامة، مثل المطارات أو الفنادق، ما لم يبادر المستخدم باتخاذ سبل حماية الاتصال باستخدام إحدى برمجياتVPN . وقد لاحظتُ أيضاً أن أحد نظم الحجز قام بتسريب البيانات أثناء عملية الحجز إلى خادم عبر رابط HTTPقبل إعادة توجيه الاتصال إلى HTTPS.
ولسوء الحظ، فإن هذه الممارسة ليست فريدة من نوعها في قطاع الضيافة. وتعد مشاركة المعلومات الحساسة عبر روابط URL أو من خلال خانات إحالة بشكل غير مقصود، أمراً شائعاً بين المواقع الإلكترونية. وخلال العامين الماضيين، اطلعتُ على مشكلات واجهها عددٌ من شركات الطيران وحجز العطلات، وغيرها من المواقع الإلكترونية الأخرى. وفي شهر فبراير الماضي، رصد بعض الباحثين مشكلات مشابهة، والتي تم خلالها استخدام روابط غير مشفّرة على بين عددٍ من مزوّدي خدمات الطيران.
يقوم العديد من المستخدمين بمشاركة تفاصيل رحلاتهم بشكل منتظم، من خلال نشر الصور على شبكات التواصل الاجتماعي. ولا يشعر هؤلاء بأي قلق إزاء عدم وضوح مرجع حجز تذاكرهم. وقد لا ينتابهم القلق بشأن خصوصيتهم، وربما يرغبون في تعريف متابعيهم بالفعل بمكان وجودهم، لكنني متأكد تماماً من أنهم سيهتمون فقط عند وصولهم إلى الفندق ليجدوا أن الحجز قد تم إلغاؤه. وقد يبادر المهاجم بإلغاء الحجز لمجرد التسلية أو على سبيل الانتقام الشخصي، ولكن قد يكون أيضاً على سبيل الإضرار بسمعة الفندق، كجزء من مخطط لابتزازه أو بغرض القيام بعمل تخريبي لصالح جهة منافسة.
يمكن للمحتالين أيضاً استخدام البيانات التي تم جمعها بهذه الطريقة لإرسال رسائل بريد شخصي مزعجة لإقناع الطرف الآخر بفعل أمر ما، أو لتنفيذ هجمات أخرى في إطار الهندسة الاجتماعية. وقد يؤدي إبراز المعلومات الشخصية إلى زيادة مصداقية رسائل الابتزاز التي تدّعي أنك تعرضت للاختراق.
وعلاوة على ذلك، قد تكون مجموعات الهجوم المستهدفة مهتمة أيضاً بحركات رجال الأعمال والموظفين الحكوميين. ومن المعروف أن عدداً من مجموعاتAPT ، مثل DarkHotel /Armyworm و OceanLotus /Destroyerو Swallowtail وWhiteFly، شنّت هجمات خطيرة على عددٍ من الأهداف في قطاع الضيافة. وهناك العديد من الأسباب التي تجعل هذه المجموعات مهتمة بقطاع الضيافة، بما في ذلك لأغراض المراقبة العامة، أو تتبع تحركات الهدف التي يمكن من خلالها تحديد الأفراد المرافقين لهم، أو معرفة المدة التي يقضيها شخص ما في مكان معين. ويمكن أن يؤدي ذلك أيضاً إلى الوصول الفعلي إلى موقع الهدف