三分之二的酒店网站无意中将个人数据泄露给第三方公司,让客户容易受到黑客攻击。根据网络安全公司赛门铁克的研究,该公司发现酒店使用的大多数预订系统可能允许诈骗者访问移动电话和护照号码等信息。
泄漏来自确认电子邮件,发送给客户,通常包含与其预订无关的直接链接。该报告表明,同一网络上的任何人都可以拦截该电子邮件并修改或取消其预订。
首席威胁研究员Candid Wueest测试了来自54个的1,500家酒店的网站,发现其中三分之二(67%)有问题。安全漏洞违反了的GDPR法律,该法律规定公司必须保护客户的个人数据。
“尽管GDPR在近一年前在欧洲生效,但这个问题仍然存在,这表明GDPR的实施还没有完全解决组织如何应对数据泄漏问题,”Wueest说。
在Wueest测试的网站中,超过一半(57%)的用户通过直接访问预订链接向客户发送确认电子邮件。这是为了方便客户,为他们提供了一个简单的链接,无需登录即可直接点击预订。
由于这些电子邮件需要静态链接,因此预订参考代码和电子邮件将在URL本身中发送。这本身不是问题,但大多数网站在同一网站上加载其他内容,例如广告,这意味着直接访问是直接与其他资源共享,或间接通过HTTP中的referrer字段共享请求。
还有其他情况,预订数据也可能被泄露。有些网站会在预订过程中传递信息,而其他网站会在客户手动登录网站时泄露信息。在大多数情况下,Wueest发现预订数据仍然可见,即使预订已被取消,也为黑客窃取个人信息提供了大量机会。
2018年,有许多连锁酒店遭遇数据泄露,例如通过其奖励计划获得客户详细信息的Radisson连锁店,以及Mariott的Starwood Hotel系统,该系统在其预订系统中发现了一个重大缺陷。