Επισκέπτης Δημοσ. 9 Νοεμβρίου 2020 Δημοσ. 9 Νοεμβρίου 2020 16 λεπτά πριν, SakisD1 είπε Λέτε επιτέλους να κλείσει η booking ;;; Δεν ειναι της booking το πρόβλημα, διαβασε το άρθρο στα αγγλικα.
george1807 Δημοσ. 9 Νοεμβρίου 2020 Δημοσ. 9 Νοεμβρίου 2020 1 ώρα πριν, filip123go είπε Στο άρθρο αφήνει να εννοηθεί πως φταίει το AWS ενώ το original αρθρο αναφέρει ¨Data Storage Format: Misconfigured AWS S3 bucket¨ , που σημαίνει οτι μάλλον κάποιος δεν έκανε καλά την δουλεία του.!! Και γι αυτό πάντα pay-pal και πάλι pay-pal. Μπορεί να μην το θέλουν οι εταιρείες γιατί έχει μεγάλη προμήθεια (πιο πρόσφατη που θυμάμαι είναι η beat που το έβγαλε), αλλα σε τέτοιες περιπτώσεις είσαι ήσυχος. Επίσης, γιατί κρατούσαν δεδομένα πιστωτικών καρτών;;;; Γιατί τις χρεώνουν. Εσύ κάνεις κράτηση τώρα και τη μέρα που σταματάει η δωρεάν ευκαιρία για ακύρωση στη χρεώνουν. Μπορεί να είναι την ίδια στιγμή της κράτησης, μπορεί σε ένα μήνα, μπορεί και σε ένα χρόνο. 1
vabill Δημοσ. 9 Νοεμβρίου 2020 Δημοσ. 9 Νοεμβρίου 2020 23 ώρες πριν, trib είπε Η πλατφόρμα που μοιράζονται δύο από τις μεγαλύτερες υπηρεσίες στο χώρο των κρατήσεων, άφησε ορθάνοιχτη την πόρτα σε επιτήδειους & απατεώνες. Η ξενοδοχειακή αγορά ίσως έχει μπροστά της να ανέβει ένα μεγάλο Γολγοθά και να αντιμετωπίσει ένα σοβαρό πρόβλημα ασφαλείας παράλληλα με την πανδημία. Η ιστοσελίδα Website Planet αναφέρει ότι η Prestige Software, η εταιρία που προμηθεύει με λογισμικό τις πλατφόρμες κρατήσεων ξενοδοχείων όπως τα Hotels.com, Booking.com και Expedia, άφησε εκατομμύρια δεδομένα επισκεπτών εκτεθειμένα στην υπηρεσία cloud αποθήκευσης Amazon Web Services S3. Τα αρχεία περιέχουν περισσότερες από 10 εκατομμύρια εγγραφές και συμπεριλαμβάνουν στοιχεία όπως ονόματα, πιστωτικές κάρτες, αριθμούς ταυτότητας και λεπτομέρειες κράτησης. Δεν είναι σίγουρο για πόσο καιρό τα δεδομένα ήταν ανοιχτά διαθέσιμα ή αν κάποιος πήρε τελικά αυτά τα αρχεία. Η ιστοσελίδα Planet λέει ότι η «τρύπα» έκλεισε μια μέρα μετά την ενημέρωση στην υπηρεσία AWS με την Prestige να επιβεβαιώνει πως τα δεδομένα αυτά ήταν δικά της. Η ζημιά θα μπορούσε να είναι πολύ σοβαρή αν απατεώνες έχουν βρει τα δεδομένα. Η ιστοσελίδα Planet προειδοποίησε ότι αυτή η διαρροή θα μπορούσε να οδηγήσει σε πολλούς κινδύνους όπως απάτες με πιστωτικές κάρτες, κλοπή ταυτότητας και απάτες τύπου phishing. Οι απατεώνες, αν είναι αρκετά τολμηροί, θα μπορούσαν ακόμη και να κλέψουν τις διακοπές κάποιου άλλου χρήστη. Πρακτικά, ο αντίκτυπος που μπορεί να έχει αυτή η διαρροή ίσως είναι περιορισμένος, δεδομένου ότι λίγοι ταξιδεύουν κατά τη διάρκεια της πανδημίας. Ωστόσο, αυτό δείχνει τους μεγάλους κινδύνους που ελλοχεύουν όταν μεγάλες πλατφόρμες στηρίζονται και εξαρτώνται από τρίτους παρόχους. Η ασφάλεια σε μία υπηρεσία ή πλατφόρμα είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της και μόλις μια ευπάθεια σε μια εταιρία είναι ικανή να θέσει σε κίνδυνο όλα όσα έχτιζε τα προηγούμενα χρόνια. Διαβάστε ολόκληρο το άρθρο Διαφωνώ καθέτως και οριζοντίως. Η στήριξη σε 3ους παρόχους είναι το Industry Standard ιδιαίτερα αν είσαι μεγάλος ή αν στοχεύεις ψηλά. Η δουλειά της κάθε εταιρείας δεν είναι να έχει κάθετη μονάδα παραγωγής στα πάντα, αντιθέτως να συνεργάζεται με εξειδικευμένες εταιρείες για κάθε τι που χρειάζεται. Shit Happens. Τέτοια λάθη έχουν κάνει πολύ μεγαλύτερες εταιρείες απο την Prestige (γκουχου Sony γκούχου).
polaki Δημοσ. 9 Νοεμβρίου 2020 Δημοσ. 9 Νοεμβρίου 2020 4 ώρες πριν, SakisD1 είπε Λέτε επιτέλους να κλείσει η booking ;;; Όχι, γύρνα πλευρό. "Οι απατεώνες, αν είναι αρκετά τολμηροί, θα μπορούσαν ακόμη και να κλέψουν τις διακοπές κάποιου άλλου χρήστη." Όχι δεν θα μπορούσαν. Από που ακριβώς βγαίνει το συμπέρασμα αυτό, έχει χρησιμοποιήσει ποτέ ο αρθρογράφος (ο original, όχι ο δικός μας) την υπηρεσία ή στην τύχη αμολάει αρλούμπες? 1
Ukforthemoment Δημοσ. 9 Νοεμβρίου 2020 Δημοσ. 9 Νοεμβρίου 2020 4 λεπτά πριν, polaki είπε Όχι, γύρνα πλευρό. "Οι απατεώνες, αν είναι αρκετά τολμηροί, θα μπορούσαν ακόμη και να κλέψουν τις διακοπές κάποιου άλλου χρήστη." Όχι δεν θα μπορούσαν. Από που ακριβώς βγαίνει το συμπέρασμα αυτό, έχει χρησιμοποιήσει ποτέ ο αρθρογράφος (ο original, όχι ο δικός μας) την υπηρεσία ή στην τύχη αμολάει αρλούμπες? Δυο φορές το έχω χρησιμοποιησει booking και trip και τις δύο ήθελαν το email επιβεβαίωσης και το διαβατηριο στο ξενοδοχείο ,αν είναι το στανταρ ή όχι δεν ξερω αλλά αυτή ήταν η εμπειρία μου.
polaki Δημοσ. 9 Νοεμβρίου 2020 Δημοσ. 9 Νοεμβρίου 2020 4 λεπτά πριν, Ukforthemoment είπε Δυο φορές το έχω χρησιμοποιησει booking και trip και τις δύο ήθελαν το email επιβεβαίωσης και το διαβατηριο στο ξενοδοχείο ,αν είναι το στανταρ ή όχι δεν ξερω αλλά αυτή ήταν η εμπειρία μου. ε ναι, προφανώς γι'αυτό το είπα. Απ'τις μεγαλύτερες κοτσάνες που διαβάσαμε το να κλέψει κάποιος τολμηρός διακοπές άλλου χρήστη. Ατάκα καφενείου πραγματικά. 1
eyw Δημοσ. 10 Νοεμβρίου 2020 Δημοσ. 10 Νοεμβρίου 2020 (επεξεργασμένο) Quote Εκατομμύρια δεδομένα από τα Booking.com & Hotels.com διέρρευσαν στο διαδίκτυο υπάρχει κάτι που δεν έχει πουληθείδιαρρεύσει στο διαδίκτυο? Κανονικά θα έπρεπε κάπου στο site να υπάρχει μόνιμη στήλη με δελτίο διαρροών, όπως οι εφημερίδες έχουν με φαρμακεία και βενζινάδικα. Είναι πάνω από 10ετία που οι διαρροές έχουν εξελιχθεί και αυτές σε πανδημία, κάποιος να απαγορεύσει στις εταιρείες να αποθηκεύουν δεδομένα για παραπάνω από πχ 7 μέρες. Σε περίπτωση απάτης με πιστωτική ποιός θα πληρώσει την ζημιά? ποιά είναι η διαδκασία? Επεξ/σία 10 Νοεμβρίου 2020 από eyw 1
screwvy Δημοσ. 10 Νοεμβρίου 2020 Δημοσ. 10 Νοεμβρίου 2020 8 ώρες πριν, eyw είπε Εκατομμύρια δεδομένα από τα Booking.com & Hotels.com διέρρευσαν στο διαδίκτυο Πώς βρίσκουμε αν συνέβη όντως αυτό; Το GDPR προβλέπει αποζημιώσεις στους χρήστες, έως 10000 ευρώ; Και πολύ αυξημένο πρόστιμο από τη στιγμή που δεν υπήρξε ενημέρωση. 1
polaki Δημοσ. 10 Νοεμβρίου 2020 Δημοσ. 10 Νοεμβρίου 2020 2 ώρες πριν, screwvy είπε Πώς βρίσκουμε αν συνέβη όντως αυτό; Το GDPR προβλέπει αποζημιώσεις στους χρήστες, έως 10000 ευρώ; Και πολύ αυξημένο πρόστιμο από τη στιγμή που δεν υπήρξε ενημέρωση. Θα με ενδιέφερε και εμένα, επειδή έχω υπογράψει σε μικρομεσσαία επιχείρηση (στην Ελλάδα, οπότε κλάιν μάιν) οτι είμαι "data protection officer" και καλά και είχαμε κάνει ένα σκασμό χαρτομάνι και κακό, με επικοινωνίες στην αρχή προστασίας προσ. δεδομένων κλπ, θα ήθελα πραγματικά να το τρέξω λίγο να δω τί μας (με) περιμένει στην περίπτωση που όντως γίνει στραβή. Η δική μας περίπτωση δεν έχει κάρτες αλλά έχει αποθηκευμένους τραπεζικούς λογαριασμούς, διευθύνσεις, ηλικίες κλπ.
gakost Δημοσ. 10 Νοεμβρίου 2020 Δημοσ. 10 Νοεμβρίου 2020 1 ώρα πριν, polaki είπε Θα με ενδιέφερε και εμένα, επειδή έχω υπογράψει σε μικρομεσσαία επιχείρηση (στην Ελλάδα, οπότε κλάιν μάιν) οτι είμαι "data protection officer" και καλά και είχαμε κάνει ένα σκασμό χαρτομάνι και κακό, με επικοινωνίες στην αρχή προστασίας προσ. δεδομένων κλπ, θα ήθελα πραγματικά να το τρέξω λίγο να δω τί μας (με) περιμένει στην περίπτωση που όντως γίνει στραβή. Η δική μας περίπτωση δεν έχει κάρτες αλλά έχει αποθηκευμένους τραπεζικούς λογαριασμούς, διευθύνσεις, ηλικίες κλπ. Και ύστερα μας φταίνε όλοι οι άλλοι. Ωραία νοοτροπια
Lomar Δημοσ. 10 Νοεμβρίου 2020 Δημοσ. 10 Νοεμβρίου 2020 (επεξεργασμένο) 19 hours ago, Dark Worm said: Τα cookies δεν ειναι μονο μπισκοτακια. Σου κλεβουν τα προσωπικα δεδομενα επειδη σεβονται το απορρητο και γενικα εσενα ως χρηστη. Δυστυχώς φίλε μου είσαι τελείως εκτός θέματος. Οι ίδιοι οι πελάτες συμπλήρωσαν φόρμες με όλα τους τα στοιχεία + κάρτες για να κάνουν την κράτηση. Το exploit ήταν server side τρίτης υπηρεσίας: O Channel Manager (cloud platform) είναι μια υπηρεσία που δέχεται στοιχεία κρατήσεων για λογαριασμό ξενοδόχων, από διάφορους ΟΤΑ (Online Travel Agents). Ο λόγος είναι η διευκόλυνση στην εισαγωγή των κρατήσεων, η καλύτερη διαχείριση της διαθεσιμότητας, ο ευκολότερος έλεγχος των gross rates κτλ Με λίγα λόγια συντονίζει κοινές ενέργειες μεταξύ ξενοδοχείου & πολλαπλών διαδικτυακών καναλιών πώλησης. Ο πελάτης (τουρίστας/επισκέπτης) δίνει την πιστωτική του κάρτα, αρ. ταυτότητας/διαβατηρίου σε κάποιον ΟΤΑ όταν κάνει την κράτηση. Έπειτα ο ΟΤΑ στέλνει όλα τα στοιχεία της κράτησης (πλην της κάρτας) μέσω email στα ξενοδοχεία που δεν χρησιμοποιούν channel manager ή όλα τα στοιχεία (+πιστωτική) στον channel manager, όπου ο ξενοδόχος μπορεί να δει στο (ασφαλές) περιβάλλον του τελευταίου τα στοιχεία της κάρτας για να την χρεώσει. Η ειρωνεία είναι πως για όρια <300,000 $ ανά card issuer (visa/master card), σε ετήσια βάση, το self-assesment του PCI-compliance είναι αρκετό και συνήθως Booking/Expedia/Hotelbeds αρκούνται σε αυτό. Με λίγα λόγια ο εκάστοτε channel manager, πιστοποιείτε μόνος του απέναντι στον ΟΤΑ, απλά παρέχοντας ικανοποιητικές απαντήσεις σε ερωτηματολόγια και ένα server plan για να δείξεις πως έχεις και demilitarized zone στην αρχιτεκτονική σου. Κανείς όμως δεν ελέγχει την ορθότητα των παραπάνω! Τα δηλώνεις, αλλά όταν έρθει η ώρα να πληρώσεις την trustwave ή κάποιον πάροχο της, κανείς δεν ενημερώνει τους ΟΤΑ αν στα assessment τους είσαι επισφαλής! Αρκούνται πως αν γίνει κάποιο breach νομικά η ευθύνη είναι πάνω σου, αφού αποδείξουν πως δεν έφταιγαν (τεχνικά) οι ίδιοι οι ΟΤΑ στο όλο chain. Η Expedia βέβαια που χρεώνει η ίδια τον πελάτη σε αρκετές κρατήσεις και δίνει δική της virtual card στον ξενοχόδο, η οποία είναι κλειδωμένη για συγκεκριμένα MMC codes σε POS, δεν θα είχε το ίδιο πρόβλημα με όλους τους πελάτες της, αλλά μόνο με αυτούς που επιλέγουν "Hotel Collect" κρατήσεις. Επεξ/σία 10 Νοεμβρίου 2020 από Lomar
Προτεινόμενες αναρτήσεις