据路透社报道,根据网络安全公司赛门铁克( 赛门铁克)4 月 10 日发布的最新研究报告,三分之二的酒店网站无意中将客人预订信息和个人数据泄露给包括广告公司和分析公司在内的第三方网站。
这项研究调查了来自54个国家的1500多个酒店网站,范围从2到5星级不等。
受影响的个人信息包括客人全名、电子邮件地址、信用卡详细信息和护照号码,这些信息可能被越来越多的关键商业人士和政府雇员使用。
这项研究的首席研究员坎德·韦斯特(Candade West)表示:“虽然广告商跟踪用户浏览管理已不是什么秘密,但在这种情况下,共享的信息可以让第三方服务登录预订服务,查看个人信息,甚至取消预订。”“通用数据保护条例”(GDPR)在欧洲生效已经近一年了,但许多受到这一问题影响的酒店迟迟没有得到遵守。
研究显示,当酒店网站发送带有直接预订信息链接的确认邮件时,往往会发生数据泄露。附加在链接上的参考代码可以由30多个不同的服务提供商共享,包括社交媒体、搜索引擎、广告和分析服务等。
大多数网站泄露个人资料。
西方测试的网站范围从国内的二星级酒店到海滩上的豪华五星级度假酒店。有些预订系统值得称赞,因为它们只显示数字值和居住日期,不披露任何个人信息。但大多数网站都会泄露个人资料,如全名、电子邮件地址、邮寄地址、手机号码、护照号码、信用卡类型以及到期日的最后四位数。
酒店似乎比网站和预订引擎更安全。在West测试的五个服务中,有两个泄露了凭据,一个没有加密就发送了登录链接。应该注意的是,West找到了一些配置良好的站点,这些站点首先需要Digest身份验证,然后在设置cookie之后重定向,以确保数据不被泄露。
韦斯特说,25%的受影响酒店网站的数据隐私管理人员在接到通知后六周内没有回复赛门铁克,而那些回复的人平均在10天后才回复。“一些人承认,他们仍在更新自己的系统,以充分满足欧洲最新的数据保护标准,”他说。
West还发现,多个站点允许执行保留引用和枚举攻击。在许多情况下,预订参考代码只从一个保留增加到另一个。这意味着,如果攻击者知道客户的电子邮件或姓氏,他们就可以猜测客户的预订引用号并登录。强行保留数字是旅游业中常见的问题。
对于某些站点,后端甚至不需要客户的电子邮件或名称,您所需要的只是一个有效的预订参考代码。West发现了这些编码错误的多个例子,这使得West不仅可以访问大型连锁酒店的所有有效预订,而且还可以查看国际航空公司的每一张有效机票。
风险有多大?
许多人经常通过在社交媒体网络上发布照片来分享他们的旅行细节。这些人可能不太关心自己的隐私,实际上可能希望他们的追随者知道他们在哪里,但韦斯特很肯定,如果他们到达酒店,发现他们的预订被取消了,他们会更加关注。
攻击者可能因为娱乐或个人报复而决定取消预订,但这也可能损害酒店作为敲诈计划的一部分或作为竞争对手的声誉。
酒店行业也有相当多的数据披露,以及配置不当的云数据的数据披露。这些信息可以在黑暗的互联网上出售,也可以用于身份欺诈。收集到的数据集越完整,它就越有价值。
欺诈者还可以使用这种方式收集的数据来发送具有说服力的个性化垃圾邮件或执行其他社会工程攻击。提供个人信息可以增强勒索的可信度,就像那些声称被黑客攻击的人一样。