Cequence Security’ye göre siber suçlular, seyahat ve konaklama sektörünün yoğun sezonlarından yararlanarak saldırılarını örtbas etmek için artan trafiği kullanıyor.
Araştırmacılar, dışarıdan görülebilen uç nokta, bulut altyapısı, uygulama yığını, API ana bilgisayarları ve güvenlik açıklarını belirlemek için ilk 10 seyahat ve konaklama sitesini inceledi.
Tehdit araştırmacıları, sektörler arasında tutarlı bir örüntü gözlemlediler: Seyahat ve misafirperverlik sektörünün tatil ve bayram dönemleri gibi yoğun sezonlarda artan web sitesi trafiği, siber saldırılardaki artışla örtüşüyor. Vercara tarafından sağlanan DNS ve DDoS saldırı verileri, artan sorgular ve saldırıların artan çevrimiçi aktivite dönemleriyle ilişkili olması nedeniyle bu bulguyu destekliyor.
Temel bulgular
Kritik güvenlik açıkları hala açık: 10 büyük seyahat ve konaklama şirketinin hepsinde ciddi, kamuya açık güvenlik açıkları vardı. Dört şirkette ciddi güvenlik açıklarının %91’i vardı ve bunların çoğu, saldırganların kullanıcılar ve şirketler arasındaki iletişimleri kesmesine ve manipüle etmesine olanak tanıyan aracı (MITM) saldırısına izin verecekti.
İstemsizce kamuya açık sunucular gölgelerde gizleniyor: 10 şirketin 8’inin, genellikle izlenmeyen ve yönetilmeyen ve saldırganlara bir yol sağlayabilen, halka açık üretim dışı veya dahili uygulama sunucuları vardı. Bir şirketin 300’den fazla bu tür sunucusu vardı.
Bulut yayılımı saldırılar için mükemmel fırtınayı yaratır: Bulut yayılması genellikle satın almalar, silolanmış departmanlar veya tanımlanmış bir bulut stratejisinin eksikliği tarafından yönlendirilir. Bu, saldırı yüzeyini artırarak halka açık bulut örneklerinin çoğalmasına yol açabilir. En iyi seyahat ve konaklama siteleri 5 ila 21 farklı barındırma sağlayıcısı kullandı ve bu da bulut ortamlarını yönetmenin karmaşıklığını vurguladı.
Tatil telaşı, saldırganın cenneti: Ekim, kış seyahat tatili sezonunun başlangıcıdır ve bu aynı zamanda geçen yıl en fazla DNS sorgusunun ve DDoS saldırısının gerçekleştiği zamandır. Kasım 2023, tüm yıl boyunca seyahat sektörüne yönelik en yüksek DDoS saldırısı sayısını gösterdi ve bu, ikinci en yüksek ayın neredeyse iki katıydı.
Cequence Security’de Tehdit Araştırmaları Direktörü William Glazier, “Siber suçluların saldırı fırsatını yakalamasıyla, gezginler yoğun tatil zamanlarında risk altında oluyor,” dedi. “Araştırmamız, tüketiciler için finansal kayıp, kimlik hırsızlığı ve seyahatin aksaması ve işletmeler için itibar kaybı ve yasal sorunlar gibi ciddi tehditleri vurguluyor. Sık saldırılar, tüketicilerin dijital platformlara olan güvenini zedeleyebilir. Bu riskleri azaltmak için, kuruluşların API güvenliğine öncelik vermesi gerekirken, gezginlerin uyanık kalması ve siber güvenlik uygulamaları yapması gerekir.”
Şirketler bu güvenlik açıklarını gidermek için çalışırken, 31 Mart 2025’ten itibaren zorunlu hale gelecek olan PCI DSS Sürüm 4.0’a da hazırlık yapmalılar. PCI DSS’ye uyulmaması, önemli para cezaları, yaptırımlar ve kart işlemlerinde kesintilere yol açabilir; ayrıca bir işletmenin itibarına zarar verebilecek ve müşteri güvenini aşındırabilecek veri ihlalleri riskini artırabilir.
Kuruluşların API güvenliklerini güçlendirmeye öncelik vermeleri, bu riskleri azaltmak için proaktif önlemler almaları ve hem manuel hem de otomatik AI saldırılarına karşı koruma sağlamaları gerekir. Seyahat edenler ayrıca uyanık kalmalı ve kişisel ve finansal bilgilerini korumak için güçlü siber güvenlik uygulamaları kullanmalıdır.