Cequence: Urlauber aufgepasst – Sämtliche Reiseveranstalter von Cyberattacken betroffen
Eine Studie von Cequence zeigt, dass alle Top-10-Webseiten des Reise- und Gastgewerbes von großen Sicherheitslücken betroffen sind. 91 Prozent der kritischen Schwachstellen liegen bei vier Unternehmen.
SUNNYVALE, Calif., 11. September 2024 – Cequence, ein Pionierunternehmen im Bereich der API-Sicherheit und des Bot-Managements, veröffentlicht neue brisante Daten im Hinblick auf die Sicherheit der Webseiten von Reiseveranstaltern und der Hotelbranche. Cyberkriminelle nutzen den erhöhten Datenverkehr während der Urlaubssaison zunehmend als Deckmantel für ihre Angriffe.
Das Cequence CQ Prime Threat Research Team unterzog die Top-10-Websites des Reise- und Gastgewerbes einem Test mit Cequence API Spyder. Das SaaS-basierte Erkennungstool bietet Unternehmen einen Einblick in ihre öffentlich zugänglichen Ressourcen aus der Perspektive eines potenziellen Angreifers. Auf diese Weise können sie nach außen sichtbare Edge- und Cloud-Infrastrukturen, Anwendungs-Stacks, API-Hosts sowie Sicherheitslücken identifizieren.
Das Threat-Research- und Threat-Analyst-Team von Cequence hat branchenübergreifend ein einheitliches Muster beobachtet: Mit dem erhöhten Website-Traffic während einer Hochsaison, wie zur Urlaubs- und Ferienzeit im Reise- und Gastgewerbe, geht ein Anstieg von Cyberangriffen einher. Die von Cloud-Security-Anbieter Vercara zur Verfügung gestellten Daten zum Domain Name System (DNS) und zu DDoS (Distributed Denial of Service)-Angriffen bestätigen diese Feststellung, da sowohl die Zunahme der Anfragen als auch der Angriffe mit Zeiten erhöhter Online-Aktivität korrelieren. Die wichtigsten Erkenntnisse in der Übersicht:
- Kritische Sicherheitslücken sind allgegenwärtig: Alle zehn führenden Unternehmen des Reise- und Gastgewerbes wiesen schwerwiegende, öffentlich zugängliche Schwachstellen auf. 91 % der kritischen Schwachstellen konnten die Experten von Cequence bei vier Unternehmen verorten, von denen die meisten einen MitM (Man-in-the-Middle)-Angriff ermöglichen würden. Bei einer solchen Attacke fangen Angreifer die Kommunikation zwischen Nutzern und Unternehmen ab und manipulieren sie.
- Viele Server waren ungewollt öffentlich zugänglich: In 80 % der untersuchten Unternehmen gab es öffentlich zugängliche Non-Production- oder interne Application-Server. Sie werden in der Regel nicht überwacht und nicht aktiv verwaltet, sodass sie Angreifern als Eingangstor dienen könnten. Eines der Unternehmen hatte über 300 solcher Server.
- „Cloud Sprawl“ vergrößert die Angriffsfläche: Sogenannter Cloud Sprawl, also unübersichtliche Cloud-Umgebungen, entsteht oft durch Firmenübernahmen, Informationssilos zwischen Abteilungen oder den Mangel einer definierten Cloud-Strategie. Diese Umstände können zu einer Ausbreitung von öffentlich zugänglichen Cloud-Instanzen führen und die Angriffsfläche für Cyberkriminelle vergrößern. Die führenden Webseiten des Reise- und Gastgewerbes nutzten zwischen 5 und 21 verschiedene Hosting-Anbieter, was die Komplexität des Cloud-Managements verdeutlicht.
- Ferienzeit ist Hackerzeit: Die Sommerferien sind vorbei und bald beginnt die Winterreisesaison. Für Cyberkriminelle startet damit die Hochsaison: In dieser Zeit wurden 2023 auch die meisten DNS-Anfragen und DDoS-Angriffe des gesamten Jahres verzeichnet – fast doppelt so viele wie üblich.
Während Unternehmen daran arbeiten, diese Schwachstellen zu beheben, müssen sie sich auch auf den kommenden Payment Card Industry Data Security Standard (PCI DSS) Version 4.0 vorbereiten, dessen Anwendung ab dem 31. März 2025 verpflichtend wird. Bei Nichteinhaltung des PCI DSS drohen erheblichen Geldstrafen, Bußgelder und Probleme bei Kartentransaktionen. Es kann zudem zu einem erhöhten Risiko von Datenschutzverletzungen kommen, was den Ruf eines Unternehmens schädigt und das Vertrauen der Kunden untergräbt. Unternehmen müssen daher der Stärkung ihrer API-Sicherheit Priorität einräumen, proaktive Maßnahmen zur Minderung dieser Risiken ergreifen und Schutzmaßnahmen sowohl gegen manuelle als auch automatisierte KI-Angriffe einsetzen. Auch Reisende sollten wachsam bleiben und strenge Cybersicherheitspraktiken verinnerlichen, um ihre persönlichen und finanziellen Daten zu schützen.
„Reisende sind insbesondere in der Haupturlaubszeit gefährdet, denn Cyberkriminelle nutzen sie gnadenlos aus, um zuzuschlagen“, warnt William Glazier, Director of Threat Research bei Cequence. „Unsere Untersuchungen zeigen, dass es auch in diesem Winter wieder zu schwerwiegenden Bedrohungen kommt. Verbrauchern drohen finanzielle Verluste, Identitätsdiebstahl und Probleme während der Reise, während Unternehmen mit Reputationsschäden und rechtlichen Folgen rechnen müssen. Um das allgemeine Risiko zu mindern, sollten Reiseveranstalter und Unternehmen des Gastgewerbes ihre API-Sicherheit erhöhen und entsprechende Initiativen vorantreiben. Reisenden kann ich nur raten, beim Buchen ihres Urlaubs stets wachsam zu bleiben und so restriktiv wie möglich mit ihren Daten umzugehen.“
Die spannenden Erkenntnisse der Untersuchung hat Cequence in einer Infografik aufgearbeitet, die als kostenfreier Download verfügbar ist.
Über Cequence
Cequence ist ein Pionierunternehmen im Bereich der API-Sicherheit und des Bot-Managements. Die Unified API Protection (UAP)-Plattform von Cequence bietet einen transparenten Überblick über die eingesetzten APIs und Anwendungen und schützt diese effektiv gegen Cyberangriffe, Datenverluste und Missbrauch. Bedrohungen lassen sich frühzeitig erkennen, Schnittstellen auf rechtliche Anforderungen und die Compliance anpassen. Die Lösungen von Cequence können flexibel in SaaS-, On-Premises- und Hybrid-Installationen bereitgestellt werden. Für die Einbindung neuer APIs benötigen Anwender weniger als 15 Minuten, ohne dass eine App-Instrumentierung, eine SDK- oder JavaScript-Integration erforderlich ist. Das Lösungsportfolio von Cequence ist skalierbar und bewältigt hochkomplexe Anforderungen in Behörden und Fortune-Global-500-Unternehmen. Cequence schützt so täglich mehr als acht Milliarden API-Interaktionen und mehr als drei Milliarden Benutzerkonten.
Für weitere Informationen: www.cequence.ai
Pressekontakt
PR-COM GmbH
Katrin Link
Account Manager
Sendlinger-Tor-Platz 6
80336 München
Telefon +49 89 59997-814
katrin.link@pr-com.de