ISP injecteert advertenties in WiFi-verkeer hotel
Een Amerikaanse internetprovider blijkt advertenties in het webverkeer van hotelklanten te injecteren. Webontwikkelaar Justin Watt ontdekte tijdens zijn verblijf in het Courtyard Marriott hotel op Times Square in New York, dat er CSS en JavaScript aan alle websites waren toegevoegd. Het JavaScript wees naar een bestand dat gebruikt wordt om advertenties op websites te injecteren en/of vervangen.
Watt onderzocht de injecties en ontdekte dat dit door de Revenue eXtraction Gateway (RXG) werd gedaan. Een draadloze hotspot gateway. "Samengevat, het Courtyard Marriott gebruikt de RXG om JavaScript op elke webpagina van hotelklanten te injecteren met als doel het injecteren van advertenties", concludeerde Watt.
Injectie
Hij stelt dat het draadloze internet door een provider genaamd Hotel Internet Services wordt verzorgd. "Het is mogelijk, maar onwaarschijnlijk, dat Marriott hier niets van weet. Ik vind het gek dat ik 368 dollar per nacht voor een hotelkamer betaal en zo word behandeld." Watt kreeg uiteindelijk een reactie van Marriott. Daarin laat het hotel weten dat de advertenties door de provider werden geïnjecteerd en het hier geen weet van had.
"De ISP heeft het hotel verzekerd dat deze functionaliteit nu is uitgeschakeld. Hoewel dit een alledaagse marketingpraktijk van veel internetproviders is, keurt Marriott deze activiteit af. Geen enkel moment zou de veiligheid van gegevens in gevaar zijn geweest", aldus de verklaring van het hotel.
Tientallen jaren van research om er voor te zorgen dat de gegevens de ontvanger bereiken zonder dat deze wijzigen, wordt er door een ISP bewust data verkracht. Whats next? Telefoongesprekken met een reclame boodschap?
Stel je moet voor je werk een website op fouten checken. Kijk je op de server denk je alles OK. Bij het testen zie je dat je data doorkrijgt die je server niet verstuurt.
Nooit opgevallen dat in hotels met betaal TV de wifi nooit gratis is?!? Wie kijkt er nou naar die zenders met blote dames als via de gratis internet verbinding ze net zo snel (en net zo bloot) binnenkomen? Daar schiet een hotel keten zich dus mee in de voet.
Om toch geld te verdienen aan de verbinding voegen ze er advertenties aan toe. Ze veranderen niets (tenminste, technisch gezien niet), maar voegen alleen toe. Niet helemaal netjes, maar ik kan me er wel iets bij voorstellen. Op de tv gebeurt het toch ook elke 15 minuten?
Om toch geld te verdienen aan de verbinding voegen ze er advertenties aan toe. Ze veranderen niets (tenminste, technisch gezien niet), maar voegen alleen toe. Niet helemaal netjes, maar ik kan me er wel iets bij voorstellen. Op de tv gebeurt het toch ook elke 15 minuten?
Een stuk javascript in de HTML stoppen is heel ernstig. Je kunt het meer vergelijken met het journaal waarbij ze dan het plaatje veranderen in een reclame boodschap.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
