Компания Symantec провела исследование с участием более чем 1500 отелей и обнаружила, что большинство из них (67%) допускают утечку персональных данных постояльцев. Гостиницы, принимавшие участие в исследовании, расположены в 54 странах, включая США, Канаду и Европу, где действуют строгие нормы относительно защиты персональных данных. Исследование проводилось как в дешёвых 2-звёздочных мотелях, так и в роскошных 5-звёздочных пляжных курортах.
Основная проблема связана с электронными письмами с подтверждением бронирования. Многие из таких сообщений содержат активную ссылку, которая ведёт на отдельный веб-сайт, где гости могут получить доступ к своему бронированию, чтобы снова войти в систему. Код бронирования и электронная почта гостя часто отображаются в самом теле URL.
Но, как и многие сферы бизнеса, отели делятся персональной информацией постояльцев с третьими лицами, так что код бронирования и электронная почта становятся доступными и для них. Злоумышленнику будет достаточно доступа к коду бронирования и электронной почте, чтобы найти адрес, полное имя, номер мобильного телефона, номер паспорта и другую конфиденциальную информацию клиента. Symantec также обнаружила, что некоторые отели не шифровали ссылки, отправленные в электронных письмах с подтверждением, предоставляя злоумышленникам еще одну возможность получения доступа к персональным данным.
Представитель Symantec сообщил, что компания связалась с отелями, в которых имелись проблема с безопасностью. При этом большинство из них, но не все, приняли надлежащие меры для устранения проблемы безопасности. Компания не уточняет, какие именно отели принимали участие в исследовании. Упоминается лишь, что исследование затронула 45 различных сайтов, включая крупные агрегаторы отелей. В результате, было затронуто более 1500 гостиниц в сотнях локаций в 54 странах.
Вместе с тем, Symantec приводит и некоторые рекомендации, направленные на обеспечение более высокого уровня приватности. В частности, рекомендуется пользоваться VPN-сервисами для изменения бронирования при подключении к общедоступным сетям Wi-Fi. Также рекомендуется проверять ссылку подтверждения, чтобы видеть, не передаёт ли она персональные данные клиента, включая код бронирования и адрес электронной почты. Уязвимая с точки зрения безопасности ссылка выглядит следующим образом:
https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld
Источник: Engadget