Egy húszéves hacker talált egy biztonsági rést a spanyol luxusszállodák online foglalási rendszerében, így mindössze egy euro centért tudott szobákat és apartmanokat foglalni. A legnagyobb egyszeri kár 4 000, az összesített veszteség több tízezer euró volt.
Sokan modern Robin Hood-történetet látnak a sztoriban. Mi viszont egy tanulságos történetet a kiberbiztonság üzleti logikai hiányosságairól.
A hacker, akitől mindenki retteg
A spanyol hatóságok kevés személyes információt osztottak meg a gyanúsítottról, így polgári neve nem ismert. Csak annyit tudni, hogy a fiatal spanyol állampolgár szinte sportot űzött a hackelésből, a kétes sikerekkel pedig gyakran kérkedett különféle fórumokon.
Sajtóértesülések szerint például a spanyol polgárőrség, a védelmi minisztérium, a spanyol királyi pénzverde, az oktatási, szakképzési és sportminisztérium, a valenciai regionális kormány, különböző spanyol egyetemek, a NATO és az amerikai hadsereg, az ENSZ Nemzetközi Polgári Repülési Szervezetének, valamint más vállalatok és nemzetközi szervezetek adatbázisaihoz is hozzáfért.
A hacker nem hajtott végre semmilyen technikai bravúrt
A nyilvánosságra került információk alapján a problémát nem egy kifinomult, mély technikai exploit okozta. Nem is zero-day sérülékenység vagy komplex infrastruktúra-feltörés. Egyszerűen annyi történt, hogy a hotel online fizetési rendszere nem ellenőrizte megfelelően, hogy valóban beérkezett-e a teljes összeg a tranzakció során. Vagyis a rendszer elfogadta a 0,01 eurós fizetést, és véglegesítette a foglalást.
Ez azonban nem klasszikus értelemben vett programozási hiba, hanem üzleti logikai sebezhetőség. Egy olyan terület, ahol a legtöbb szervezet alulértékeli a kockázatot. A tapasztalatunk ugyanis az, hogy a vezetők a kiberbiztonság fenntartása során elsősorban a technikai védelemre fókuszálnak, a folyamatokat azonban figyelmen kívül hagyják.
Csakhogy egy szemfüles hacker nem a falat bontja, hanem a folyamat gyengeségeit használja ki. A tűzfalak, endpoint védelem, monitoring, SOC, compliance checklisták azonban nem sokat érnek, ha a tranzakciós logika hibás és a validációs pontok rosszul működnek.
Ebben az esetben ugyanis az volt a feltételezés, hogy ha a fizetési gateway „zöld jelzést” ad, akkor a tranzakció rendben van. Csakhogy a rendszer nem vizsgálta, hogy az összeg arányos-e a szolgáltatással. Vagyis egy olyan kiberbiztonsági kérdés okozta a hibát, ami valójában nem IT-ügy, hanem vezetői döntési kérdése.
Mi történt valójában?
A nyilvános információk szerint több hiányosság együttesen vezetett a visszaéléshez. A rendszerben nem volt megfelelő üzleti logikai validáció az extrém alacsony összegekre. Emellett hiányos volt a fraud detection mechanizmus, nem működött ár-anomália alapú riasztás és az automatizált folyamat mögött nem volt manuális kontroll. Márpedig ezek külön-külön is kockázatot jelentenek, együtt azonban rendszerszintű sérülékenységet alkotnak.
Fontos hangsúlyozni: a rendszer valószínűleg átesett auditon és megfelelt bizonyos compliance-követelményeknek. Szinte biztos, hogy volt dokumentált IT-biztonsági policy. Csakhogy ez mit sem ér, ha a rendszerben van valahol egy szélesre tárt ajtó, amin egy hacker lezser eleganciával sétálhat be.
Mit tett volna egy etikus hacker hasonló helyzetben?
Pontosan ugyanezt! Egy etikus hacker a penetrációs teszt során ugyanis nemcsak portokat és szolgáltatásokat vizsgál és sérülékenységi adatbázisokat futtat végig. Hanem üzleti oldalról is támadja a rendszert.
Megnézi,
– mi történik, ha a fizetés során átutalt összeg irreálisan alacsony?
– van-e validáció a szolgáltatás és az ellenérték között?
– indul-e riasztás anomália esetén?
– létezik-e manuális kontroll extrém tranzakcióknál?
Ha a jól kivitelezett pentest során egy etikus hacker kiberbiztonsági problémát detektál, azonnal lép és segít helyreállítani a hibát. Problémák, fennakadások és tévedések ugyanis még körültekintő eljárási rend esetén is előállhatnak. A hiba helyreállítása pedig mindig költségekkel jár. Csak az nem mindegy, ki fizet kinek és főleg mennyit.
A reputáció ára
Néhány tízezer eurós közvetlen veszteség önmagában kezelhető összeg egy prémium hotelhálózat számára. A reputációs kár viszont egészen más dimenzió, hiszen a luxusipar alapja a bizalom, a diszkréció és az exkluzivitás.
Vagyis ha egy rendszer ennyire alapvető logikai hibát tartalmaz, a vendégben óhatatlanul felmerül, vajon az ügyfél- és bankkártya adatok kezelése mennyire biztonságos az adott cégben? Vajon biztonságban vannak-e személyes adatai, ha az adott láncnál foglal?
Ne feledjük, a kiberbiztonság ma már nem technikai támogatási funkció, hanem üzleti bizalmi tényező. A bizalomvesztés költsége pedig tipikusan jóval magasabb, mint a megelőző tesztelésé.
Hol hibáznak leggyakrabban a szervezetek?
Az ilyen esetek mögött jellemzően három stratégiai hiba áll. Az első, hogy a cégek kiberbiztonságot IT-feladatként kezelik, nem pedig üzleti kockázatként. A másik, hogy a compliance-t gyakran összekeverik a valós támadási szimulációval. A harmadik pedig az, hogy az automatizáció meglétét általában automatikusan a kontroll biztosítottságának tekintik, pedig nem az.
Az automatizmus ugyanis csak annyira biztonságos, amennyire a mögé épített validációs logika. Ha a rendszer feltételez, a hacker ellenőriz. És ahol feltételezés van, ott bizony lehetőség is van. Hogy fejlődésre vagy támadásra? Azt a történet alapján döntse el ki-ki magának.
Egy biztos: ez az eset nem hotelipari kuriózum, hiszen adatkezelésben érintett, komplex digitális folyamatokat működtető szervezet jócskán akad számos szektorban.
Csakhogy bár a legtöbb szervezet infrastruktúrája technikailag védett, a monitoring pedig aktív, az üzleti logika ritkán esik át valós támadási szemléletű vizsgálaton.
Memó a hackertől
Egy nagy szakmai tapasztalattal rendelkező hacker nem csap zajt és általában nem a látványok antréra hajt. Nem feltétlenül brute force-ol, csak csendben tesztel. Bravúrok helyett sikerre törekszik, nagy faksznik helyett a józan paraszti eszét használja.
Persze az is igaz, hogy a penetrációs tesztelés költségvonzattal jár. Mégsem mindegy, mennyibe kerül. És ha vállalatvezetőként, döntéshozóként az az elsődleges kérdés, hogy „Mennyibe fog ez nekem kerülni?”, gondoljuk át
– mennyibe kerül egy reputációs incidens;
– mennyi vezetői időt emészt fel egy krízis kezelése;
– milyen hatással van egy ilyen eset az ügyfélbizalomra;
– milyen jogi és szabályozói következményei lehetnek egy-egy visszaélésnek?
A kiberbiztonság nem abszolút biztonságot jelent, hanem tudatos kockázatkezelést. Az a szervezet pedig, amely rendszeresen bevon etikus hacker szakértőket működése ellenőrzésére, stratégiai döntést hoz arról, hogy a saját rendszerét ő maga teszteli, mielőtt valaki más tenné meg helyette.
