Истории

Хакеры смогли создать ключ к миллионам гостиничных номеров

Истории
Вероника Елкина
Вероника Елкина

Ex-Редактор «Историй»

Вероника Елкина

Исследователи в области безопасности обнаружили уязвимость в системе гостиничных электронных ключей и сделали мастер-ключ, которым можно открыть любой номер в отеле.

Хакеры смогли создать ключ к миллионам гостиничных номеров

Система электронных замков Vision by VingCard от шведского разработчика Assa Abloy используется в более чем 42 тысячах заведений в 166 странах. Такие замки есть в миллионах гостиничных номеров, а также гаражах и складах.

Система особенно популярна в отелях — с помощью цифрового ключа постояльцы могут попасть только в свой номер и в некоторых случаях даже только на свой этаж. После выселения данные цифрового ключа обнуляются, и он попадает в руки следующего клиента.

Но оказалось, что цифровые гостиничные ключи не так надежны, как кажутся.

pic

Сотрудники компании F-Secure Томи Туоминен и Тимо Хирвонен провели исследование и сообщили, что мастер-ключ ко всем дверям можно создать «буквально из воздуха».

Для этого понадобится любая карточка-ключ. Даже в старых просроченных и деактивированных картах содержится остаточная информация, которую можно использовать для взлома. С помощью мобильного устройства и специальной программы исследователи могут украсть данные с карты — как с магнитной, так и бесконтактной. Устройство обрабатывает украденные данные и определяет, к какому отелю они относятся. Затем оно создает токен доступа с высшим уровнем привилегий — так получается мастер-ключ, который может открыть любой номер.

pic

Мастер-ключ удалось создать не за один вечер — исследование заняло более десяти лет.

Ученые начали предпринимать попытки его создания в 2003 году, когда у одного из их коллег украли из номера ноутбук. Кража произошла без видимых следов взлома, поэтому сотрудники гостиницы не стали разбираться с ситуацией. Тогда исследователи решили изучить популярный бренд умных замков. Другими словами, создание мастер-ключа было нелегким занятием, на которое ушли «тысячи часов» работы методом проб и ошибок.

«Разработка метода взлома отняла у нас много времени и сил, — утверждают ученые. — В 2015 году мы создали демоверсию систему радиочастотной идентификации, а в марте 2017 смогли сделать первый мастер-ключ к реальной гостинице. Если бы кто-то занимался этим как полноценной работой, то у него ушло бы на это гораздо меньше времени».

Но есть и хорошие новости. «Пока что не было ни единого случая подобного взлома», — рассказали исследователи.

Стать востребованным специалистом по кибербезопасности можно, выбрав онлайн-курс в каталоге курсов по информационной безопасности.

Открытие ученых привело к тому, что компания Assa Abloy выпустила обновление для своих умных замков, которое должно закрыть дыру в безопасности. Патч вышел на центральном сервере, однако для устранения уязвимости все равно необходимо обновить прошивку каждого замка.

Обновление появилось в начале 2018 года, однако неизвестно, сколько гостиниц его установило. Среди клиентов Assa Abloy есть такие крупные отели, как Waldorf Astoria в Берлине, Grand Hyatt в Сан-Франциско и Renaissance Downtown в Торонто.

Представители других отелей, например, Hilton, сообщили, что в курсе уязвимостей и работают над их устранением. Ученые же попросили владельцев гостиниц обновить свои замки как можно скорее.

Источник.


Материалы по теме:

Почему многие люди используют в качестве пароля слово «дракон»

Данные о пользователях Wi-Fi в метро Москвы и Петербурга обнаружили в открытом доступе

«Заказать кибератаку теперь не сложнее, чем пиццу в офис»

Уязвимость в Tinder позволяет просматривать фото и действия пользователей

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Почему неправильная настройка бэкапов дорого обходится бизнесу
  2. 2 «Цифровая осада»: как формируются угрозы для умных жилых комплексов
  3. 3 Геймдев и безопасность: рекомендации по защите от хакерских атак
  4. 4 Тренды на 2024 год в сфере информационной безопасности
  5. 5 Не доверяй мне, я социальный инженер: 5 главных правил кибербезопасности для бизнеса