酒店業(yè)一直是駭客的覬覦之地,2018年華住集團(tuán)旗下酒店5億條用戶個人信息疑遭泄露,萬豪旗下喜達(dá)屋酒店數(shù)據(jù)庫遭非法入侵致最多5億客人信息被竊,酒店服務(wù)類網(wǎng)站的個人數(shù)據(jù)保護(hù)已經(jīng)成為全球的熱門話題。而近日,賽門鐵克在一個覆蓋全球54個國家及地區(qū)的1500多家酒店網(wǎng)站的研究報告中指出,酒店網(wǎng)站存在網(wǎng)頁表單內(nèi)容劫持(Formjacking)的風(fēng)險,其中三分之二 (67%) 的網(wǎng)站都在無意間將顧客預(yù)訂信息泄露給廣告商和分析公司等第三方網(wǎng)站。這些酒店網(wǎng)站均有隱私政策,但他們都沒有在其中明確提到此類行為。
在行業(yè)內(nèi),廣告商追蹤用戶瀏覽痕跡、了解用戶的瀏覽習(xí)慣已不是秘密。但信息大范圍共享會使得第三方能夠登錄顧客預(yù)訂窗口,查看他們詳細(xì)的個人信息,甚至故意取消其預(yù)訂。《通用數(shù)據(jù)保護(hù)條例》(GDPR) 已經(jīng)在歐洲施行了近一年之久,中國也在2017年6月推出了《網(wǎng)絡(luò)安全法》,旨在監(jiān)管網(wǎng)絡(luò)安全、保護(hù)個人隱私和敏感信息,以及維護(hù)國家網(wǎng)絡(luò)空間主權(quán)和安全。然而直至今日,仍有許多酒店遲遲不愿承認(rèn)與面對,更沒有及時采取應(yīng)對措施去解決相關(guān)問題。
安全研究員隨機(jī)選擇了一些旅游景點,并檢索了位于這些地點的不同級別的熱門酒店。從鄉(xiāng)村二星級普通酒店到豪華五星級海邊度假村等等,一些大型知名連鎖酒店的旗下品牌也被納入測試范疇。其中部分網(wǎng)站的預(yù)訂系統(tǒng)在隱私保護(hù)方面表現(xiàn)良好,只簡單顯示了基礎(chǔ)數(shù)據(jù)和停留日期,并未透露任何個人信息。但絕大多數(shù)網(wǎng)站都泄露了如下個人數(shù)據(jù):姓名、電子郵件地址、郵寄地址、手機(jī)號碼、信用卡后四位數(shù)字、卡類型和有效日期、護(hù)照號等。
預(yù)訂信息樣本 - 顯示可能會泄露的顧客預(yù)訂數(shù)據(jù)類型
在評測酒店中,超過一半 (57%) 的酒店會向顧客發(fā)送電子郵件確認(rèn)預(yù)訂信息,并在郵件中提供可以直接訪問預(yù)訂信息的鏈接。其本意是為了方便顧客,讓顧客無需登錄即可進(jìn)入預(yù)訂窗口。 然而,這些預(yù)定信息在通過電子郵件發(fā)送的同時,由于很多第三方會在同一網(wǎng)站上加載廣告,會導(dǎo)致直接訪問權(quán)會被共享給其他資源,或者被間接共享。賽門鐵克的測試表明,每次預(yù)訂平均會生成176個請求,雖然并非所有請求都包含詳細(xì)的預(yù)訂信息,但這一數(shù)字表明預(yù)訂數(shù)據(jù)會被大范圍共享。
個人信息可通過HTTP請求中的referrer字段被間接共享
研究測試發(fā)現(xiàn),顧客如果使用電子郵件中收到的鏈接直接自動登錄到預(yù)定窗口,在此過程中加載的頁面可能會調(diào)用許多遠(yuǎn)程資源,而這些外部對象發(fā)出的Web請求會直接將完整URL作為參數(shù)發(fā)送。在此次測試中,酒店預(yù)定碼被30多個不同的服務(wù)供應(yīng)商共享,包括一些知名社交網(wǎng)絡(luò)、搜索引擎以及廣告和分析服務(wù)供應(yīng)商。在這種情況下,第三方服務(wù)可以登錄預(yù)訂窗口,查看詳細(xì)的個人信息,甚至取消顧客的預(yù)訂。值得強(qiáng)調(diào)的是,出現(xiàn)這種問題并非服務(wù)供應(yīng)商的責(zé)任。
此外,對于預(yù)訂數(shù)據(jù)的泄露,還有其他潛在的原因。有些數(shù)據(jù)泄露發(fā)生在預(yù)訂過程中,有些則發(fā)生在顧客手動登錄網(wǎng)站時。一些網(wǎng)站為了安全起見會生成一個令牌,然后通過 URL 而非安全證書進(jìn)行傳送,但是這種做法也不值得提倡。 而且,在多數(shù)情況下即使顧客的酒店預(yù)訂已經(jīng)被取消,預(yù)訂數(shù)據(jù)仍然可見,這便為攻擊者竊取個人信息提供了絕佳的機(jī)會。
研究還發(fā)現(xiàn),有超過四分之一 (29%) 的酒店網(wǎng)站沒有對電子郵件(包含ID)中的初始鏈接加密,這一點令人擔(dān)憂。一旦顧客點擊電子郵件中的HTTP鏈接,攻擊者便會在這一進(jìn)程中攔截顧客憑證,從而達(dá)到查看或修改其預(yù)訂信息的目的。這一情形很可能發(fā)生在機(jī)場或酒店等使用公共熱點的場所,除非用戶主動使用VPN軟件來保護(hù)鏈接。甚至有個別預(yù)訂系統(tǒng)在其鏈接從HTTP重定向到HTTPS之前,就已經(jīng)在預(yù)訂過程中將數(shù)據(jù)泄露給了服務(wù)器。
對酒店業(yè)而言,配置不當(dāng)?shù)脑拼鎯ν耙步?jīng)常導(dǎo)致數(shù)據(jù)泄露。這些信息隨后便可能在黑市上被兜售或用于身份欺詐。收集的數(shù)據(jù)越全面,其價值就越高。此外,目標(biāo)性攻擊團(tuán)伙也可能對商務(wù)人士和政府職員的行程進(jìn)行攻擊。
【建議服務(wù)預(yù)訂網(wǎng)站應(yīng)統(tǒng)一使用加密鏈接 (HTTPS),并確保任何憑證都不會以URL參數(shù)的形式泄露,即使適用隱私條例允許也不例外(尤其是在歐洲),例如使用cookie。顧客可以檢查鏈接是否已加密,或者個人數(shù)據(jù)(如電子郵件地址)是否作為URL中的可見數(shù)據(jù)進(jìn)行傳遞。】