安全研究人员发现,高达67%的酒店网站因系统设计问题,将顾客订房数据泄露给第三方企业。
这是赛门铁克首席威胁研究员Candid Wueest在浏览酒店网站时,发现到一些问题可能导致住客的个人信息外泄,随后针对54个国家超过1500间酒店网站进行测试,结果发现其中有三分之二或67%的酒店网站,不慎将住客订房代码泄露给广告商或分析公司等第三方网站。
至于个人信息外泄的原因,主要问题出在系统设计上。研究人员发现测试的网站中57%会发送确认电子邮件给顾客,其中含有可直接返回订房记录的网页URL。这种电子邮件需要静态链接,会将住客订房代号和email信箱附在URL后方成为函数值。雪上加霜的是,29%的酒店未加密邮件中的URL,又或者是当用户点击URL开展网页时,网页同时加载其他内容,像是广告。
这意味着可能让攻击者拦截到邮件,或是通过HTTP调用中的参照栏,间接分享给第三方网站。分析显示,每笔订单平均有176次HTTP调用,这些调用可能来自网站的第三方合作企业,如广告商或分析企业。这表示第三方服务企业可以借此登录酒店预约订房系统、读取住客个人数据或是取消订房。
虽然有些酒店的订房系统值得称赞,只显示数值和住宿天数而未泄露任何住客个人信息,但“大部分”酒店订房系统都有这个问题,泄露信息包括住客全名、电子邮箱、住家地址、手机号码、护照号码及信用卡号后4码、信用卡种类与有有效期限。
Wueest指出,还有其他场景也会导致订房数据外泄,像是某些网站在订房过程中将数据传给他人,有的是在住客手动登录网站时泄露,还有网页产生访问权限后通过URL传递。研究人员甚至发现,即使住客取消订房,订房数据还是存在,让黑客有如进入窃密的无人之境,并有多家酒店网站订房代号可能遭致暴力破解或枚举攻击(enumeration attacks),只要知道住客电子邮件或姓氏,就可猜到其订房代号。
研究人员随机选择旅行的地点,再通过搜索引擎寻找这些地点的酒店,因此测试范畴从郊区的二星级旅馆到紧临海滩的五星级奢华度假村。有些酒店还是知名连锁酒店,单一家酒店的网站隐私问题可能也会出现在其他酒店中。
Wueest还透露,当发现到问题后,他立即通知受影响酒店的数据隐私主管(data privacy offer,DPO),但高达25%酒店企业经过六个星期都没有下文,令人对酒店业的回应能力感到失望。他指出,GDPR在欧洲上路已经快满一年,但观光旅馆业的信息安全表现仍有待提升。