欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

三分之二酒店网站存在用户数据泄露风险

 

酒店业一直是骇客的觊觎之地,2018年华住集团旗下酒店5亿条用户个人信息疑遭泄露,万豪旗下喜达屋酒店数据库遭非法入侵致最多5亿客人信息被窃,酒店服务类网站的个人数据保护已经成为全球的热门话题。而近日,赛门铁克在一个覆盖全球54个国家及地区的1500多家酒店网站的研究报告中指出,酒店网站存在网页表单内容劫持(Formjacking)的风险,其中三分之二 (67%) 的网站都在无意间将顾客预订信息泄露给广告商和分析公司等第三方网站。这些酒店网站均有隐私政策,但他们都没有在其中明确提到此类行为。

  在行业内,广告商追踪用户浏览痕迹、了解用户的浏览习惯已不是秘密。但信息大范围共享会使得第三方能够登录顾客预订窗口,查看他们详细的个人信息,甚至故意取消其预订。《通用数据保护条例》(GDPR) 已经在欧洲施行了近一年之久,中国也在2017年6月推出了《网络安全法》,旨在监管网络安全、保护个人隐私和敏感信息,以及维护国家网络空间主权和安全。然而直至今日,仍有许多酒店迟迟不愿承认与面对,更没有及时采取应对措施去解决相关问题。

  安全研究员随机选择了一些旅游景点,并检索了位于这些地点的不同级别的热门酒店。从乡村二星级普通酒店到豪华五星级海边度假村等等,一些大型知名连锁酒店的旗下品牌也被纳入测试范畴。其中部分网站的预订系统在隐私保护方面表现良好,只简单显示了基础数据和停留日期,并未透露任何个人信息。但绝大多数网站都泄露了如下个人数据:姓名、电子邮件地址、邮寄地址、手机号码、信用卡后四位数字、卡类型和有效日期、护照号等。

三分之二酒店网站存在用户数据泄露风险
预订信息样本 - 显示可能会泄露的顾客预订数据类型

在评测酒店中,超过一半 (57%) 的酒店会向顾客发送电子邮件确认预订信息,并在邮件中提供可以直接访问预订信息的链接。其本意是为了方便顾客,让顾客无需登录即可进入预订窗口。 然而,这些预定信息在通过电子邮件发送的同时,由于很多第三方会在同一网站上加载广告,会导致直接访问权会被共享给其他资源,或者被间接共享。赛门铁克的测试表明,每次预订平均会生成176个请求,虽然并非所有请求都包含详细的预订信息,但这一数字表明预订数据会被大范围共享。

三分之二酒店网站存在用户数据泄露风险
个人信息可通过HTTP请求中的referrer字段被间接共享

  研究测试发现,顾客如果使用电子邮件中收到的链接直接自动登录到预定窗口,在此过程中加载的页面可能会调用许多远程资源,而这些外部对象发出的Web请求会直接将完整URL作为参数发送。在此次测试中,酒店预定码被30多个不同的服务供应商共享,包括一些知名社交网络、搜索引擎以及广告和分析服务供应商。在这种情况下,第三方服务可以登录预订窗口,查看详细的个人信息,甚至取消顾客的预订。值得强调的是,出现这种问题并非服务供应商的责任。

  此外,对于预订数据的泄露,还有其他潜在的原因。有些数据泄露发生在预订过程中,有些则发生在顾客手动登录网站时。一些网站为了安全起见会生成一个令牌,然后通过 URL 而非安全证书进行传送,但是这种做法也不值得提倡。 而且,在多数情况下即使顾客的酒店预订已经被取消,预订数据仍然可见,这便为攻击者窃取个人信息提供了绝佳的机会。

  研究还发现,有超过四分之一 (29%) 的酒店网站没有对电子邮件(包含ID)中的初始链接加密,这一点令人担忧。一旦顾客点击电子邮件中的HTTP链接,攻击者便会在这一进程中拦截顾客凭证,从而达到查看或修改其预订信息的目的。这一情形很可能发生在机场或酒店等使用公共热点的场所,除非用户主动使用VPN软件来保护链接。甚至有个别预订系统在其链接从HTTP重定向到HTTPS之前,就已经在预订过程中将数据泄露给了服务器。

  对酒店业而言,配置不当的云存储桶也经常导致数据泄露。这些信息随后便可能在黑市上被兜售或用于身份欺诈。收集的数据越全面,其价值就越高。此外,目标性攻击团伙也可能对商务人士和政府职员的行程进行攻击。

  【建议服务预订网站应统一使用加密链接 (HTTPS),并确保任何凭证都不会以URL参数的形式泄露,即使适用隐私条例允许也不例外(尤其是在欧洲),例如使用cookie。顾客可以检查链接是否已加密,或者个人数据(如电子邮件地址)是否作为URL中的可见数据进行传递。

9999.jpg


暂无

您可能还会对下面的文章感兴趣: