Vulnerabilità della modalità kiosk nei terminali di check-in: quali implicazioni per l’industria alberghiera

Nel mondo dell’ospitalità, l’efficienza e la sicurezza dei dati sono di vitale importanza. Recentemente, un rapporto di Pentagrid ha messo in luce una problematica significativa riguardante i terminali di check-in automatici negli hotel, in particolare quelli basati sul sistema Ariane Allegro Scenario Player (probabilmente usato in terminali della serie Ariane Duo 6000).

La scoperta di Pentagrid

Un ricercatore di sicurezza di Pentagrid, Martin Schobert, ha scoperto una vulnerabilità nei terminali di check-in automatici installati in migliaia di hotel in tutto il mondo. Questa falla permetterebbe di bypassare la modalità chiosco, potenzialmente esponendo le informazioni personali degli ospiti e le chiavi delle altre stanze.

Come funziona il bypass

La vulnerabilità con gravità 6.8 (media) classificata CVE-2024-37364 è stata identificata quando Schobert ha notato che inserendo un singolo apostrofo nella schermata di ricerca delle prenotazioni, l’applicazione si blocca.

Fonte Pentagrid

Toccando nuovamente lo schermo, il sistema operativo Windows sottostante offre all’utente l’opzione di terminare il processo dell’applicazione, chiudendo così l’Ariane Allegro Scenario Player e dando accesso al desktop Windows.

Fonte Pentagrid

Le conseguenze per gli Hotel

Questa vulnerabilità rappresenta un rischio significativo per la privacy e la sicurezza degli ospiti. I terminali di check-in automatici sono progettati per offrire un’esperienza utente fluida e sicura, gestendo il processo di prenotazione e pagamento, stampando fatture e fornendo trasponder RFID utilizzati come chiavi delle camere. Un accesso non autorizzato a queste informazioni potrebbe avere conseguenze gravi, dalla violazione della privacy alla possibilità di accesso non autorizzato alle stanze.

Conclusione

Nonostante i tentativi di Schobert di allertare il fornitore, non è stata ancora ricevuta una risposta adeguata riguardo a una versione del firmware che affronti il problema.

Il rapporto di Pentagrid solleva questioni importanti. Mentre l’automazione e le soluzioni di self-service diventano sempre più prevalenti nell’industria alberghiera, è fondamentale che vengano affrontate le vulnerabilità per proteggere i dati degli ospiti. L’industria deve rispondere prontamente a tali scoperte per mantenere la fiducia dei clienti e garantire la sicurezza delle loro informazioni personali.

Su Salvatore Lombardo 241 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.