Forskare finner att över två tredjedelar av hotellwebbplatserna läcker personuppgifter

Det gammalmodiga sättet på vilket hotell skickar e-postbekräftelser leder till läckage av gästers personuppgifter i 67 % av testfallen, har Symantec upptäckt.

Candid Wueest, främsta hotforskare på Symantec, använde 45 olika webbplatser som täckte mer än 1500 hotell i 54 länder och fann att över två tredjedelar av dem läckte nyckeldata till tredje parts webbplatser, vilket skulle säga att tredje part skulle logga in, se personlig information och avbryta bokningar. Den personliga informationen skulle innehålla saker som fullständigt namn, e-postadress, postadress, mobiltelefonnummer, begränsad kreditkortsinformation och passnummer.

Allt tack vare en välmenande men oroande bekvämlighet för kunden. Bekräftelsemail tenderar att ge en direktlänk till deras bokning, och denna kommer att innehålla deras e-postadress och bokningsnummer. Något liknande: "https://booking.the-hotel.tld/retrieve.php? prn=1234567&[email protected]”

Men som vi alla vet – eller borde veta – finns webbläsardata inte bara mellan dig och webbplatsen, och otaliga analys-, reklam- och spårningsföretag är också part i webbadressen som avslöjar data. Faktum är att Wueest skrev att hans tester visade att i genomsnitt 176 förfrågningar genererades per bokning.

Relaterad: Bästa gratis antivirus

Som han förklarade fanns det inget samband med pris eller hotellkvalitet på hur säkra de var. “Sajterna jag testade sträckte sig från tvåstjärniga hotell på landsbygden till lyxiga femstjärniga resorter på stranden”, skrev han. "I grund och botten valde jag slumpmässigt platser där jag skulle vilja tillbringa min semester och valde sedan de bästa sökmotorresultaten för hotell på dessa platser. Vissa hotellsajter som jag testade är en del av större, välkända hotellkedjor, vilket innebär att min forskning för ett hotell gäller andra hotell i kedjan.”

Du kanske anser att detta är ganska låg risk, med tanke på att tredjepartstjänsteleverantörerna antagligen är betrodda av hotellsajterna. Men det är inte riktigt så enkelt: "Det är oroande att jag hittade mer än en fjärdedel (29%) av hotellsajterna krypterade inte den första länken som skickades i e-postmeddelandet som innehöll ID: t,” Wueest skrev.

"En potentiell angripare kan därför fånga upp användaruppgifterna för kunden som klickar på HTTP-länken i e-postmeddelandet, till exempel för att se eller ändra sin bokning. Detta kan inträffa vid offentliga hotspots som flygplatsen eller hotellet, om inte användaren skyddar anslutningen med VPN-programvara.”

Relaterad: Bästa VPN

Du kan läsa alla resultat på Symantecs hemsida.

Är du orolig över detta, eller verkar det vara en avlägsen säkerhetsrisk i det större sammanhanget? Låt oss veta vad du tycker på Twitter: @TrustedReviews.