最新消息:品橙 | 旅游产业链的新视角,每天带来及时、专业的旅游行业资讯,欢迎查找并添加微信公众账号pinchain

Symantec:酒店网站成客户信息泄露大户

来源:商业周刊中文版

据路透社报道,网络安全公司赛门铁克(Symantec)4月10日发布的最新研究显示,三分之二的酒店网站在无意中将客人的预定信息和个人数据泄露给第三方网站,包括广告公司和分析公司。

据路透社报道,网络安全公司赛门铁克(Symantec410日发布的最新研究显示,三分之二的酒店网站在无意中将客人的预定信息和个人数据泄露给第三方网站,包括广告公司和分析公司。

这份研究调查了54个国家的1500多个酒店网站,这些酒店从二星级到五星级不等。

受影响的个人信息包括客人的完整姓名、电子邮件地址、信用卡详细信息以及护照号,这些信息或可被如今日渐盯上重要商务人士和政府雇员的网络犯罪分子利用。

这一研究的主要研究人员坎迪德·韦斯特(Candid Wueest)说:虽然广告主跟踪用户浏览资管已不是什么秘密,但是在这种情况下,分享的信息,可以让第三方服务登录到预订服务,查看个人信息,甚至取消预订。自从《通用数据保护条例》(GDPR)在欧洲生效以来已近一年了,但受此问题影响的许多酒店的遵守法规的速度非常缓慢。

研究显示,数据泄露往往发生在酒店网站发送包含直接预订信息链接的确认电子邮件之时。附加到链接中的参考代码可被30多个不同的服务供应商共享,包括社交媒体、搜索引擎、广告和分析服务等。

大多数网站泄露了个人数据

韦斯特测试过的网站从乡村的二星级酒店到海滩上的豪华五星级度假村酒店网站。一些预订系统值得称赞,因为它们只显示了数值和停留日期,并没有透露任何个人信息。但大多数网站泄露了个人数据,例如:全名、电子邮件地址、邮寄地址、手机号码、护照号、信用卡、卡类型和到期日的最后四位数字。

jiudian190412

酒店比较网站和预订引擎似乎更安全。从韦斯特测试的五个服务中,两个泄露了凭据,一个发送了登录链接而没有加密。应该注意的是,韦斯特发现了一些配置良好的网站,它们首先需要Digest认证,然后在设置cookie后重定向,确保数据不会泄露。

韦斯特说,受影响的酒店网站中,有25%的数据隐私负责人未在收到通知后的6周内回复赛门铁克,而那些回复了的,也平均在10天后才回复。有些承认,他们仍在更新他们的系统,以完全符合欧洲最新的数据保护标准,他说。

韦斯特还发现,多个网站允许强制执行预订参考以及枚举攻击。在许多情况下,预订参考代码只是从一个预订增加到下一个预订。这意味着,如果攻击者知道客户的电子邮件或姓氏,他们就可以猜出该客户的预订参考号并登录。强行预订号码是旅游行业的一个普遍问题。

对于某些网站,后端甚至不需要客户的电子邮件或姓名,所需要的只是有效的预订参考代码。韦斯特发现了这些编码错误的多个例子,这使韦斯特不仅可以访问大型连锁酒店的所有有效预订,还可以查看国际航空公司的每张有效机票。

有什么风险?

许多人通过在社交媒体网络上发布照片来定期分享他们的旅行细节。这些人可能不太关心他们的隐私,实际上可能希望他们的关注者知道他们的行踪,但韦斯特相当肯定,如果他们到达他们的酒店并发现他们的预订已被取消后,他们会更加注意。

攻击者可能会因为娱乐或个人报复而决定取消预订,但也可能损害酒店的声誉,作为勒索计划的一部分或作为竞争对手的破坏行为。

酒店业也存在相当多的数据泄露,以及数据配置不当的云数据的数据泄露。然后,这些信息可以在暗网上出售或用于进行身份欺诈。收集的数据集越完整,它就越有价值。

诈骗者还可以使用以这种方式收集的数据来发送令人信服的个性化垃圾邮件或执行其他社交工程攻击。提供个人信息可以提高勒索邮件的可信度,就像那些声称你被黑客攻击的邮件一样。(原题《最新研究 │ 三分之二的酒店都在无意中泄露你的个人信息》小烁仔)

转载请注明:品橙旅游 » Symantec:酒店网站成客户信息泄露大户

请登录后发表评论