Symantec:三分之二的酒店都在無意中洩露客戶資訊
據路透社報道,網路安全公司賽門鐵克(Symantec)4月10日釋出的最新研究顯示,三分之二的酒店網站在無意中將客人的預訂資訊和個人資料洩露給第三方網站,包括廣告公司和分析公司。
這份研究調查了54個國家的1500多個酒店網站,這些酒店從二星級到五星級不等。
受影響的個人資訊包括客人的完整姓名、電子郵件地址、信用卡詳細資訊以及護照號,這些資訊或可被如今日漸盯上重要商務人士和政府僱員的網路犯罪分子利用。
這一研究的主要研究人員坎迪德·韋斯特(Candid Wueest)說:“雖然廣告主跟蹤使用者瀏覽資管已不是什麼祕密,但是在這種情況下,分享的資訊,可以讓第三方服務登入到預訂服務,檢視個人資訊,甚至取消預訂。”自從《通用資料保護條例》(GDPR)在歐洲生效以來已近一年了,但受此問題影響的許多酒店的遵守法規的速度非常緩慢。
研究顯示,資料洩露往往發生在酒店網站傳送包含直接預訂資訊連結的確認電子郵件之時。附加到連結中的參考程式碼可被30多個不同的服務供應商共享,包括社交媒體、搜尋引擎、廣告和分析服務等。
大多數網站洩露了個人資料
韋斯特測試過的網站從鄉村的二星級酒店到海灘上的豪華五星級度假村酒店網站。一些預訂系統值得稱讚,因為它們只顯示了數值和停留日期,並沒有透露任何個人資訊。但大多數網站洩露了個人資料,例如:全名、電子郵件地址、郵寄地址、手機號碼、護照號、信用卡、卡型別和到期日的最後四位數字。
酒店比較網站和預訂引擎似乎更安全。從韋斯特測試的五個服務中,兩個洩露了憑據,一個傳送了登入連結而沒有加密。應該注意的是,韋斯特發現了一些配置良好的網站,它們首先需要Digest認證,然後在設定cookie後重定向,確保資料不會洩露。
韋斯特說,受影響的酒店網站中,有25%的資料隱私負責人未在收到通知後的6周內回覆賽門鐵克,而那些回覆了的,也平均在10天后才回復。“有些承認,他們仍在更新他們的系統,以完全符合歐洲最新的資料保護標準,”他說。
韋斯特還發現,多個網站允許強制執行預訂參考以及列舉攻擊。在許多情況下,預訂參考程式碼只是從一個預訂增加到下一個預訂。這意味著,如果攻擊者知道客戶的電子郵件或姓氏,他們就可以猜出該客戶的預訂參考號並登入。強行預訂號碼是旅遊行業的一個普遍問題。
對於某些網站,後端甚至不需要客戶的電子郵件或姓名,所需要的只是有效的預訂參考程式碼。韋斯特發現了這些編碼錯誤的多個例子,這使韋斯特不僅可以訪問大型連鎖酒店的所有有效預訂,還可以檢視國際航空公司的每張有效機票。
有什麼風險?
許多人通過在社交媒體網路上釋出照片來定期分享他們的旅行細節。這些人可能不太關心他們的隱私,實際上可能希望他們的關注者知道他們的行蹤,但韋斯特相當肯定,如果他們到達他們的酒店並發現他們的預訂已被取消後,他們會更加註意。
攻擊者可能會因為娛樂或個人報復而決定取消預訂,但也可能損害酒店的聲譽,作為勒索計劃的一部分或作為競爭對手的破壞行為。
酒店業也存在相當多的資料洩露,以及資料配置不當的雲資料的資料洩露。然後,這些資訊可以在暗網上出售或用於進行身份欺詐。收集的資料集越完整,它就越有價值。
詐騙者還可以使用以這種方式收集的資料來發送令人信服的個性化垃圾郵件或執行其他社交工程攻擊。提供個人資訊可以提高勒索郵件的可信度,就像那些聲稱你被黑客攻擊的郵件一樣。