В Китае данные тысяч постояльцев гостиниц попали в сеть

Александр Панасенко 25 Октября 2013 - 12:40

...

Гостиничные сети Китая не смогли защитить данные своих постояльцев. Как сообщает издание South China Morning Post, персональная информация о тысячах клиентов китайских отелей оказалась в широком доступе. Купить базу данных о бронировании номеров предлагалось на популярной китайской торговой платформе Taobao. За 8 гигабайт продавцы просили 2000 юаней.

Также предложение было доступно на сайте chakaifang.info, который в настоящее время заблокирован. Установить, кто является владельцем сайта, пока не удалось. Известно лишь, что ресурс был зарегистрирован на расположенную в провинции Цзянсу компанию по доставке. В компании однако отвергли любую причастность к данному сайту.

Возможно, доступ к данным злоумышленники смогли получить благодаря «дыре» в системе безопасности CNWisdom – компании, которая является ведущим провайдером wi-fi доступа для многих китайских отелей. Компания попала под подозрение, так как недавно ее уже пытались взломать, сообщает city-of-hotels.ru.

В то же время в CNWisdom открещиваются от возможной причины утечки, отмечая, что их данные хранятся иным способом и отличаются от данных, выложенных в сеть. В свою очередь специалисты отмечают тот факт, что в рекомендациях деятельности провайдера можно найти инструкции по хранению как можно меньшего объема данных пользователей, во избежание нежелательных утечек и критикуют CNWisdom за несоблюдение.

По информации китайских СМИ в сеть могла попасть персональная информация о бронировании как минимум 450 тыс. номеров, включая имена, адреса, места работы, телефонные номера из более 4500 отелей. Именно такое число отелей обслуживалось на 2011 год компанией CNWisdom.

Для Китая похищение персональных данных уже давно является привычным явлением. При желании в Поднебесной можно купить любую клиентскую базу: от подписчиков газет до посетителей шикарных ресторанов. Власти стараются ставить барьеры и снизить ущерб от подобных хищений. Так, в сентябре в Китае вступили в силу новые правила защиты данных, аналогичные правилам ЕС, которые обязывают провайдеров минимизировать объем хранящихся персональных данных. Тем не менее, новое законодательство применяется в Китае весьма избирательно, что в ряде случаев делает легальное преследование невозможным.

Комментирует главный аналитик компании InfoWatch Николай Федотов:

«Продажа 450 000 записей за 2000 юаней (10412 рублей) – это получится (даже без учёта прибыли и платы за риск) 2 копейки за запись. Цены сопоставимы с Россией, где базы персональных данных тоже продаются за копейки и доли копеек "за голову". И совсем не сопоставимо с США, где персональные данные можно на чёрном рынке стоят от 50 центов до нескольких долларов "на душу населения".

Цена за ПДн на чёрном рынке говорит о доходе, который можно получить путем эксплуатации таких данных. Обычно подразумевается реклама (в том числе спам) или мошенничество.

Стоимость риска должна определять применяемые меры защиты. Защита не имеет права быть дороже соответствующих рисков. В данном случае целесообразна копеечная (в буквальном смысле слова) защита».

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: