Forsker oppdager at over to tredjedeler av hotellnettstedene lekker personopplysninger
Den gammeldags måten hotellene sender e-postbekreftelser på fører til lekkasje av gjestenes personlige data i 67% av testsaker, har Symantec oppdaget.
Candid Wueest, viktigste trusselforsker ved Symantec, brukte 45 forskjellige nettsteder som dekket mer enn 1500 hoteller i 54 land og fant at over to tredjedeler av dem lekker nøkkeldata til tredjeparts nettsteder, som vil si at tredjeparter skal logge på, se personlig informasjon og avbryte bestillinger. Den personlige informasjonen vil inneholde ting som fullt navn, e-postadresse, postadresse, mobiltelefonnummer, begrenset kredittkortinformasjon og passnummer.
Alt takket være en velmenende, men bekymringsfull bekvemmelighet for kunden. Bekreftelses-e-post har en tendens til å gi en direkte lenke til bestillingen deres, og dette inkluderer e-postadressen og bestillingsnummeret. Noe som: "https://booking.the-hotel.tld/retrieve.php? prn=1234567&[email protected]”
Men som vi alle vet - eller burde vite - er nettleserdata ikke bare mellom deg og nettstedet, og utallige analyse-, reklame- og sporingsselskaper er også part i URL-en som avslører dataene. Faktisk skrev Wueest at testene hans viste at det i gjennomsnitt genereres 176 forespørsler per bestilling.
I slekt: Beste gratis antivirus
Som han forklarte, var det ingen sammenheng med pris eller hotellkvalitet på hvor sikre de var. “Nettstedene jeg testet varierte fra tostjerners hoteller på landsbygda til luksuriøse femstjerners alpinanlegg på stranden, ”skrev han. “I utgangspunktet valgte jeg tilfeldig steder hvor jeg ønsker å tilbringe ferien, og valgte deretter de beste søkemotorresultatene for hotell på disse stedene. Noen hotellsider jeg testet er en del av større, kjente hotellkjeder, noe som betyr at forskningen min på et hotell gjelder andre hoteller i kjeden. ”
Du kan vurdere dette som ganske lav risiko, gitt at tredjeparts tjenesteleverandører antagelig er klarert av hotellsidene. Men det er ikke så enkelt som det: ”Det gjelder at jeg fant mer enn en fjerdedel (29%) av hotellsidene krypterte ikke den opprinnelige lenken som ble sendt i e-posten som inneholdt ID, ”Wueest skrev.
“En potensiell angriper kan derfor fange legitimasjonen til kunden som klikker på HTTP-lenken i e-postmeldingen, for eksempel for å se eller endre bestillingen. Dette kan skje på offentlige hotspots som flyplassen eller hotellet, med mindre brukeren beskytter forbindelsen med VPN-programvare. ”
I slekt: Beste VPN
Du kan lese hele funnene på Symantecs nettsted.
Er du bekymret for dette, eller virker det som en ekstern sikkerhetsrisiko i den større ordningen? Gi oss beskjed om hva du synes på Twitter: @TrustedReviews.