賽門鐵克：近七成飯店網站洩露住客個資

安全研究人員發現，高達67%的飯店網站因系統設計問題，將顧客訂房資料洩露給第三方業者。

這是賽門鐵克首席威脅研究員Candid Wueest在瀏覽飯店網站時，發現到一些問題可能導致住客的個資外洩，隨後針對54個國家超過1500間飯店網站進行測試，結果發現當中有三分之二或67%的飯店網站，不慎將住客訂房代碼洩露給廣告商或分析公司等第三方網站。

至於個資外洩的原因，主要問題出在系統設計上。研究人員發現測試的網站中57%會傳送確認電子郵件給顧客，當中含有可直接連回訂房記錄的網頁URL。這種電子郵件需要靜態連結，會將住客訂房代號和email信箱附在URL後方成為函式值。雪上加霜的是，29%的飯店未加密郵件中的URL，又或者是當用戶點選URL開展網頁時，網頁同時載入其他內容，像是廣告。

這意謂著可能讓攻擊者攔截到郵件，或是透過HTTP呼叫中的參照欄，間接分享給第三方網站。分析顯示，每筆訂單平均有176次HTTP呼叫，這些呼叫可能來自網站的第三方合作業者，如廣告商或分析業者。這表示第三方服務業者可以藉此登入飯店預約訂房系統、讀取住客個人資料或是取消訂房。

雖然有些飯店的訂房系統值得稱許，只顯示數值和住宿天數而未洩露任何住客個資，但「大部份」飯店訂房系統都有這個問題，洩露資訊包括住客全名、電子郵箱、住家地址、手機號碼、護照號碼及信用卡號後4碼、信用卡種類與有效期限。

Wueest指出，還有其他情境也會導致訂房資料外洩，像是某些網站在訂房過程中將資料傳給他人，有的是在住客手動登入網站時洩露，還有網頁產生存取權杖後透過URL傳遞。研究人員甚至發現，即使住客取消訂房，訂房資料還是存在，讓駭客有如進入竊密的無人之境，並有多家飯店網站訂房代號可能遭致暴力破解或列舉攻擊（enumeration attacks），只要知道住客電子郵件或姓氏，就可猜到其訂房代號。

研究人員隨機選擇旅行的地點，再透過搜尋引擎尋找這些地點的飯店，因此測試範疇從郊區的二星級旅館到緊臨海灘的五星級奢華度假村。有些飯店還是知名連鎖飯店，單一家飯店的網站隱私問題可能也會出現在其他飯店中。

Wueest還透露，當發現到問題後，他立即通知受影響飯店的資料隱私主管（data privacy offer，DPO），但高達25%飯店業者經過六個星期都沒有下文，令人對飯店業的回應能力感到失望。他指出，GDPR在歐洲上路已經快滿一年，但觀光旅館業的資訊安全表現仍有待提升。