Códigos de acesso a quartos do Ibis expostos no self check-in 

Da Redação
03/04/2024

Os quiosques de self check-in nos hotéis Ibis Budget na Alemanha e em outros países europeus podem ter sido afetados por uma vulnerabilidade que expôs códigos de teclado que poderiam ser usados por um invasor para entrar nos quartos, disse a empresa suíça de avaliação de segurança de TI Pentagrid nesta terça-feira, 2.

A marca Ibis Budget é propriedade da gigante hoteleira francesa Accor. Segundo o site da empresa, existem 600 hotéis Ibis Budget em 20 países.

No final de 2023, os pesquisadores de segurança da Pentagrid descobriram uma vulnerabilidade no terminal de self check-in presente em uma unidade do Ibis Budget na Alemanha, mas acreditam que a falha provavelmente afetou outros hotéis da rede. A Accor foi notificada sobre o problema e informou à Pentagrid que havia implementado patches nos dispositivos afetados.

Os quiosques afetados permitem que os clientes do hotel Ibis Budget façam check-in quando não houver funcionários presentes. O cliente é solicitado a inserir o ID da reserva e o terminal exibe o número do quarto associado e o código do teclado da porta que pode ser usado para entrar no quarto.

A Pentagrid descobriu que, ao inserir uma série de travessões em vez do ID da reserva, o terminal exibia uma lista das reservas atuais. Ao tocar em uma reserva, era exibido o número do quarto e o código de acesso do teclado, que, segundo a empresa de segurança, permanece inalterado durante a estadia do cliente no hotel. Os códigos de acesso expostos podem ter sido usados por um invasor para entrar nos quartos.

Veja isso
Falhas em fechaduras RFID permitem abrir quartos de hotéis
Hackers invadem e destróem dados em rede de hotéis

Os pesquisadores da empresa de segurança acreditam que provavelmente foi um bug ou uma função de teste que o fornecedor esqueceu de desativar, em vez de um código mestre projetado para fornecer acesso a todas as reservas. Eles realizaram uma busca no Google por imagens de quiosques de check-in nos hotéis Ibis Budget. A pesquisa retorna dezenas de resultados, principalmente para hotéis na Alemanha e na França.

A Pentagrid disse que não está claro qual empresa fabrica os quiosques afetados. Para explorar a vulnerabilidade, um invasor precisaria de acesso físico ao terminal, com o dispositivo configurado para permitir o autoatendimento, o que provavelmente ocorre durante a noite, observaram os pesquisadores.

“O acesso aos quartos de hotel permitiria o roubo de objetos de valor, especialmente se os quartos do hotel [destinado a um perfil de hóspede de menor orçamento] não estiverem equipados com cofre”, disse a Pentagrid  em um post no blog corporativo descrevendo as suas descobertas.

Compartilhar: