去年,万豪旗下喜达屋酒店的数据库遭到非法入侵,导致多达5亿条客人信息被盗。 加上此前宾客信息泄露事件频发,酒店行业个人信息安全引起广泛关注。
近日,全球网络安全公司赛门铁克发布研究报告,覆盖全球54个国家和地区的1500多家酒店网站,发现三分之二(67%)的酒店网站无意中将客户预订信息泄露给第三方- 第三方网站,例如广告商和分析公司。
酒店行业为何成为信息泄露的重灾区? 这些个人信息是通过什么渠道泄露的? 如何预防呢? 今日,记者对赛门铁克大中华区首席运营官罗绍辉进行了专访,并回答了有关酒店行业信息安全的问题。
2/3酒店网站存在信息泄露
据罗少辉介绍,在本次测试中,赛门铁克的研究人员随机选择了一些旅游景点,并搜索了位于这些地点的不同级别的热门酒店。 从乡村二星级普通酒店到豪华五星级海滨度假酒店等,一些大型知名连锁酒店的品牌也被纳入测试类别,基本实现了全覆盖,能够反映行业的共性问题。
报告显示,部分网站的预订系统在隐私保护方面表现良好,仅显示基本数据和入住日期,并未泄露任何个人信息。 但绝大多数网站都泄露了大量个人数据,包括姓名、电子邮件地址、邮寄地址、手机号码、信用卡最后四位数字、卡类型和有效期、护照号码等关键个人信息。 1500多家酒店网站中,67%存在信息泄露问题。
酒店为何成为信息泄露的重灾区?
酒店为何成为信息泄露的重灾区? 对此,罗绍辉指出,除了酒店先天缺乏防御能力外,酒店数据的“高价值”使得酒店数据成为黑客眼中的“甜头”。
住过酒店的人都知道,酒店录入个人信息时,除了姓名、手机号码等数据外,还会有身份证、护照、甚至信用卡信息等信息。 可以说,这是一份相当详细的个人信息,可以用在很多地方。 而且,酒店,尤其是酒店集团,拥有庞大的数据库。 一旦被破解,他们就可以轻松获取大量个人数据。 这些数据可以分类并在网上明码标价出售,也可以打包整体出售。
据保守估计,犯罪分子去年通过在暗网上出售消费者的个人和财务信息,获取了数千万美元的不义之财。 一条信用卡信息在地下销售论坛上的售价可高达 45 美元,犯罪分子通过从每个嵌入代码的网站窃取 10 条信用卡信息并将其出售,每月可赚取高达 220 万美元的收入。
信息是通过什么渠道泄露的?
对于珠海网站建设来说,那么,酒店信息是通过什么渠道泄露的呢? 罗绍辉指出,由于信息共享,酒店数据泄露的渠道较多。
赛门铁克研究人员审查过的酒店中,超过一半 (57%) 会向客户发送一封确认预订的电子邮件,其中包含直接访问预订的链接。 其初衷是为了方便顾客,让顾客无需登录即可进入预订窗口。然而,当这些预订通过电子邮件发送时,直接或间接地与其他资源共享访问权限,因为许多第三方各方将在同一网站上加载广告。 赛门铁克的测试显示,每次预订平均生成 176 个请求,虽然并非所有请求都包含详细的预订信息,但这一数字表明预订数据被广泛共享。
研究测试发现,如果客户使用电子邮件中收到的链接自动直接登录到预定窗口,则在此过程中加载的页面可能会调用许多远程资源,而这些外部对象发出的 Web 请求将直接使用完整的远程资源。 URL作为参数发送。 在这次测试中,酒店预订代码被30多家不同的服务提供商共享,其中包括一些知名的社交网络、搜索引擎以及广告和分析服务提供商。 在这种情况下,第三方服务可以登录预订窗口,查看详细的个人信息,甚至取消客户的预订。
此外,预订数据泄露还有其他潜在原因。 一些数据泄露发生在预订过程中,而另一些则发生在客户手动登录网站时。 有些站点出于安全原因生成令牌,并通过 URL 传递它而不是安全证书,但也不建议这样做。 而且,在许多情况下,即使客户的酒店预订被取消,预订数据仍然可见,这为攻击者窃取个人信息提供了绝佳的机会。
研究还发现,超过四分之一 (29%) 的酒店网站没有对电子邮件中的初始链接(包括 ID)进行加密,这令人担忧。 一旦客户点击电子邮件中的 HTTP 链接,攻击者就会在此过程中拦截客户的凭据,从而允许他们查看或修改其预订信息。 这种情况很可能发生在机场或酒店等公共热点,除非用户主动使用 VPN 软件来保护连接。 甚至有个别预订系统在预订过程中将链接从 HTTP 重定向到 HTTPS 之前将数据泄露给服务器。
怎么解决?
欧盟的GDPR和我国的《网络安全法》都强调了个人数据的保护。 然而,赛门铁克对存在这一问题的酒店业的调查表明,实际情况并不乐观。
如何解决这个问题,罗少辉认为,酒店服务预订网站应统一使用加密链接(HTTPS),并确保不会以URL参数的形式泄露凭证,即使适用的隐私法规允许。 例如使用。 客户可以检查链接是否已加密,或者电子邮件地址等个人数据是否作为 URL 中的可见数据传递,并且他们可以使用 VPN 服务来最大程度地降低因使用公共热点而导致信息泄露的风险。
