圖片來源: 

賽門鐵克

安全研究人員發現,高達67%的飯店網站因系統設計問題,將顧客訂房資料洩露給第三方業者。

這是賽門鐵克首席威脅研究員Candid Wueest在瀏覽飯店網站時,發現到一些問題可能導致住客的個資外洩,隨後針對54個國家超過1500間飯店網站進行測試,結果發現當中有三分之二或67%的飯店網站,不慎將住客訂房代碼洩露給廣告商或分析公司等第三方網站。

至於個資外洩的原因,主要問題出在系統設計上。研究人員發現測試的網站中57%會傳送確認電子郵件給顧客,當中含有可直接連回訂房記錄的網頁URL。這種電子郵件需要靜態連結,會將住客訂房代號和email信箱附在URL後方成為函式值。雪上加霜的是,29%的飯店未加密郵件中的URL,又或者是當用戶點選URL開展網頁時,網頁同時載入其他內容,像是廣告。

這意謂著可能讓攻擊者攔截到郵件,或是透過HTTP呼叫中的參照欄,間接分享給第三方網站。分析顯示,每筆訂單平均有176次HTTP呼叫,這些呼叫可能來自網站的第三方合作業者,如廣告商或分析業者。這表示第三方服務業者可以藉此登入飯店預約訂房系統、讀取住客個人資料或是取消訂房。

雖然有些飯店的訂房系統值得稱許,只顯示數值和住宿天數而未洩露任何住客個資,但「大部份」飯店訂房系統都有這個問題,洩露資訊包括住客全名、電子郵箱、住家地址、手機號碼、護照號碼及信用卡號後4碼、信用卡種類與有效期限。

Wueest指出,還有其他情境也會導致訂房資料外洩,像是某些網站在訂房過程中將資料傳給他人,有的是在住客手動登入網站時洩露,還有網頁產生存取權杖後透過URL傳遞。研究人員甚至發現,即使住客取消訂房,訂房資料還是存在,讓駭客有如進入竊密的無人之境,並有多家飯店網站訂房代號可能遭致暴力破解或列舉攻擊(enumeration attacks),只要知道住客電子郵件或姓氏,就可猜到其訂房代號。

研究人員隨機選擇旅行的地點,再透過搜尋引擎尋找這些地點的飯店,因此測試範疇從郊區的二星級旅館到緊臨海灘的五星級奢華度假村。有些飯店還是知名連鎖飯店,單一家飯店的網站隱私問題可能也會出現在其他飯店中。

Wueest還透露,當發現到問題後,他立即通知受影響飯店的資料隱私主管(data privacy offer,DPO),但高達25%飯店業者經過六個星期都沒有下文,令人對飯店業的回應能力感到失望。他指出,GDPR在歐洲上路已經快滿一年,但觀光旅館業的資訊安全表現仍有待提升。


Advertisement

更多 iThome相關內容