NYC Restaurant Week Security Alert

Alerte de sécurité : des bots ciblent la Restaurant Week de New York

Table des matières
Scalping Account fraud
Florent Pajot, Machine Learning Engineer
21 Jan, 2025
|
min

Alors que la NYC Restaurant Week commence, les restaurants se préparent à accueillir les clients dans leurs établissements. Cependant, l’augmentation de la demande de réservations rend également les plateformes de réservation particulièrement attrayantes pour les attaques de bots malveillants, notamment le scalping, le credential stuffing et la création frauduleuse de comptes. Ces menaces peuvent perturber les opérations, nuire aux clients légitimes et entraîner des pertes financières pour les clients comme pour les restaurants.

Évaluation de la sécurité des sites de réservation de tables

DataDome a mené une évaluation de divers sites de réservation de tables afin de vérifier leur vulnérabilité aux attaques de bots. Les tests ont été réalisés à l’aide d’un framework de bot open source sans configuration personnalisée, ce qui indique que des attaquants utilisant des techniques plus avancées pourraient faire encore plus de dégâts.

 

Constats clés :

100 % des sites sont vulnérables à la création de faux comptes.

  • Tous les sites testés permettaient aux bots de créer un compte.
  • Réservation unique : la preuve de concept a confirmé que les bots peuvent réserver une table pour deux, à une date très éloignée, sans déclencher de défense.
  • Réservations multiples : les bots étaient autorisés à réserver plusieurs tables le même jour ou dans un court laps de temps, ce qui démontre le potentiel d’escalade de ces attaques.

100 % des sites présentent des mesures d’authentification faibles, ce qui les rend vulnérables à l’exploitation.

  • Seuls 40 % des sites web utilisaient une solution de détection de bots. Aucune de ces plateformes n’a empêché la création de faux comptes ou le credential stuffing.
  • Seuls 20 % des sites déployaient un CAPTCHA.
  • Seuls 40 % des sites envoyaient un email de validation ou demandaient un mot de passe à usage unique (OTP) pour l’enregistrement ou la connexion.
  • 80 % des sites ne proposaient aucune authentification multifacteur (MFA).
  • La faiblesse des mesures d’authentification rendait les plateformes vulnérables à l’exploitation par des tactiques simples telles que les services de messagerie temporaire et les astuces d’alias :
    • Les services d’emails temporaires, la technique du point Gmail et les alias étaient facilement utilisés pour contourner les contrôles à l’inscription.
    • Les bots se connectaient sans rencontrer de défenses significatives.

Implications et risques pour les restaurants et leurs clients

  • Credential stuffing : les attaquants peuvent voler des données personnelles et des récompenses de fidélité, ou détourner des réservations existantes en les annulant puis en les reprogrammant. Les restaurants demandant des acomptes risquent des pertes financières pour leurs clients légitimes.
  • Création massive de comptes : les attaquants peuvent créer et revendre de faux comptes, qui pourraient être exploités lors de futures attaques si les plateformes mettent en place des défenses plus strictes.
  • Activité de scalping : les attaquants peuvent réserver en masse des tables très demandées, revendre les réservations ou les retenir en otage.

Recommandations pour les plateformes de réservation

Pour atténuer ces risques, les plateformes de réservation de tables peuvent prendre des mesures pour renforcer leur posture de sécurité.

  • Protection avancée contre les bots : passez des systèmes CAPTCHA basiques à des solutions de gestion des bots plus sophistiquées, qui offrent une détection et une atténuation en temps réel des menaces automatisées​​. Cela permettra de prévenir les attaques de bots à chaque étape du parcours utilisateur.
  • Processus d’inscription renforcés : imposez une validation par e-mail ou une vérification par OTP lors de la création de compte et de la connexion, et déployez une MFA robuste pour sécuriser les comptes utilisateurs.
  • Défenses de réservation renforcées : introduisez une analyse comportementale pour détecter et bloquer les schémas de réservation anormaux (par exemple, réservations rapides et répétées). Surveillez les activités inhabituelles, telles que les réservations en masse sur plusieurs jours.
  • Éduquer les utilisateurs : encouragez les utilisateurs à activer les fonctionnalités de sécurité (si disponibles) et à surveiller leurs comptes pour repérer toute activité suspecte.

Conclusion

Les attaques de bots ciblant les plateformes de réservation de restaurants représentent une menace importante, notamment pendant les périodes de forte demande comme la Restaurant Week. Nos conclusions démontrent la facilité avec laquelle les attaquants peuvent exploiter ces vulnérabilités, ce qui souligne l’urgence de mettre en œuvre des stratégies complètes de lutte contre les bots. En adoptant des mesures de sécurité avancées, les restaurants peuvent protéger leurs plateformes, leurs clients, et garantir une expérience culinaire fluide pour tous.

Testez votre site dès aujourd’hui pour voir comment il résiste aux bots.

Téléchargez l’alerte de sécurité complète ici.

DataDome
Florent Pajot
Machine Learning Engineer
Florent Pajot est ingénieur en apprentissage automatique au sein de l'équipe de Data Science de DataDome. Outre son soutien aux efforts de R&D en apprentissage automatique pour la détection de la fraude en ligne, Florent se concentre sur les questions liées au MLOps afin d'améliorer les capacités de DataDome à déployer divers modèles d'apprentissage automatique en production. Florent a plus de 8 ans d'expérience dans le domaine de la science des données et a travaillé comme data scientist et chef d'équipe dans les secteurs du e-commerce et de l'automobile. Florent est titulaire de deux masters : l'un en ingénierie et l'autre en gestion d'entreprise, avec une spécialisation en gestion de l'innovation.

Articles liés