Proteggere una compagnia aerea dai bad bot: un caso di studio
This post is also available in:
Inglese 
Francese 
Tedesco 
Portoghese, Brasile 
Spagnolo 
Russo
Parliamo di una linea aerea APAC che fornisce voli nazionali e internazionali low cost con hub in tutto il Pacifico. Dato il numero di passeggeri trasportati su voli nazionali e internazionali, è diventata una delle maggiori compagnie aeree della regione Asia-Pacifico (APAC).
Sfide
Dato il suo recente successo, la piattaforma web e le mobile API della compagnia sono diventate il bersaglio di attacchi informatici da parte della concorrenza. Il loro portale clienti ha subito attacchi, tra i quali attacchi low-and-slow, malicious behavior e bad bot signatures. La concorrenza ha lanciato periodicamente operazioni di price scraping e inventory reservation hijacking, riducendo la disponibilità di prenotazioni a disposizione dei clienti legittimi. Gli attacchi di tipo hijacking hanno fatto crescere le prenotazioni di voli senza un corrispondente pagamento.
Al fine di pubblicizzare i voli disponibili sui siti di prenotazione viaggi, la compagnia aerea si è iscritta a un sistema di distribuzione globale (GDS) che addebita un costo per ogni ricerca. Alla compagnia sono state addebitate false ricerche GDS avviate da bot, con conseguente perdita di introiti. I ripetuti attacchi bot hanno inciso negativamente sulla risposta del portale ai clienti reali che cercavano di acquistare biglietti, determinando una user experience scadente. La compagnia ha dovuto impedire alla concorrenza di pregiudicare il suo business e il suo fatturato.
[[You may also like: Bot Manager vs. WAF: Why You Actually Need Both]]
La compagnia usava Dyn Web Application Security Suite di Oracle per la protezione dell’applicazione e contro i bot. Il WAF si avvicinava alla fine del servizio e doveva essere sostituito. Il servizio di bot management di Oracle si serviva del rate limiting e di altre tecniche base di mitigazione non in grado di difendere la compagnia dagli avanzati attacchi human-like subiti. I bot usavano indirizzi IP rotating per colpire il sito della compagnia, rendendo difficile il blocco di questi attacchi mediante le tradizionali procedure di mitigazione. Dal momento che la soluzione Oracle era priva di capacità behavioral-based, le API e il sito della compagnia non risultavano sufficientemente protetti.
La compagnia aerea è cliente di Limelight Networks, un fornitore di servizi CDN. Scoprendo la difficile situazione della compagnia, Limelight raccomandò Radware’s Cloud WAF Service e Bot Manager di Radware Dopo un riuscito proof of concept, la compagnia acquistò entrambi i servizi. Nei mesi seguenti, Bot Manager rilevò e mitigò attacchi di tipo price scraping, account takeover, ticket scalping e payment fraud contro indirizzi IP alternati. Durante un attacco prolungato, Radware Bot Manager ridusse il numero di bot hit da 21 milioni a zero, in un lasso di tempo di due settimane.
[[You may also like: How WAFs Can Mitigate The OWASP Top 10]]
Vantaggi
Bot Manager e Cloud WAF Service di Radware proteggono il sito e le mobile API della compagnia, consentendo a quest’ultima di tenere le prenotazioni a disposizione dei clienti legittimi e fornire loro una migliore online experience. La compagnia aerea sfrutta inoltre queste soluzioni anche per proteggere il suo sito da app mobili compromesse su smartphone Android e iOS.
