Protegendo uma companhia aérea contra bots maliciosos: Um estudo de caso

This post is also available in: Inglês Francês Alemão Italiano Espanhol Russo

Essa companhia aérea da APAC (Ásia-Pacífico) fornece voos domésticos e internacionais de baixo custo, com hubs por todo o Pacífico. Com base no número de passageiros que voam doméstica e internacionalmente, tornou-se uma das maiores companhias aéreas na APAC.

Desafios

Devido ao seu sucesso recente, a plataforma web e as APIs de celulares da companhia aérea tornaram-se alvos de ciberataques de concorrentes. O portal de clientes deles está passando por ataques que incluem Low & Slow, comportamentos maliciosos e assinaturas de bots ruins. Os concorrentes estavam fazendo rastreamento de preços de forma constante e se apropriando das reservas disponíveis, reduzindo a disponibilidade para clientes legítimos. Os ataques de apropriação aumentaram as reservas de assentos sem nenhum pagamento correspondente a elas.

Para a companhia aérea anunciar seus voos disponíveis em sites de reservas de viagens, ela acaba por se cadastrar em um sistema de distribuição global (GDS) que cobra uma taxa por pesquisa. A companhia aérea estava sendo cobrada por pesquisas falsas de GDS iniciadas por bots, resultando em perda de receita. Ataques de bots distribuídos impactaram a resposta do portal quando clientes reais tentaram comprar uma passagem, causando uma experiência de usuário insatisfatória.  A companhia aérea precisava impedir a concorrência de impactar seu negócio e sua receita.

[Você também pode se interessar por: Bot Manager vs. WAF: Why You Actually Need Both] (Bot Manager x WAF: por que, na verdade, você precisa dos dois)

A companhia aérea estava usando o pacote de segurança de aplicação Dyn Web da Oracle para aplicação e proteção contra bots. O WAF estava chegando ao fim do serviço e precisava ser substituído. O serviço de gerenciamento de bots da Oracle usava restrição de taxas e outras técnicas básicas de mitigação, que não conseguiam defender a companhia aérea contra os ataques de bots avançados e similares a humanos que eles estavam vivenciando. Os bots estavam usando endereços IP rotativos para atingir o site da companhia aérea, dificultando o bloqueios desses ataques usando práticas tradicionais de mitigação. Como a solução Oracle não tinha recursos baseados em comportamento, as APIs móveis e o site da companhia aérea não estavam suficientemente protegidos.

A companhia aérea da APAC é cliente da Limelight Networks, um provedor de serviços de CDN. Quando a Limelight descobriu o dilema da companhia aérea, ela recomendou o Serviço WAF em nuvem e o Gerenciador de bots da Radware. Após uma prova de conceito bem-sucedida, a companhia aérea adquiriu os dois serviços. O gerenciador de bots detectou e mitigou o rastreamento de preços, roubo de contas, cambismo de passagens e ataques de pagamentos fraudulentos contra endereços de IP alternados nos meses que se seguiram. Durante um ataque prolongado, o Gerenciador de bots da Radware reduziu o número de acessos de bots de 21 milhões para zero em um intervalo de duas semanas.

[Você também pode se interessar por: How WAFs Can Mitigate The OWASP Top 10] (Como WAFs podem mitigar o OWASP Top 10)

Benefícios

O Gerenciador de bots da Radware e o Serviço WAF em nuvem protegem o site da companhia aérea e as APIs móveis, para que a empresa possa manter o seu estoque livre para clientes legítimos, fornecendo uma experiência online melhor. Por fim, a companhia aérea está aproveitando essas soluções para proteger também seu site de aplicativos móveis comprometidos em smartphones Android e iOS.