三分之二酒店網站存在用戶數據洩露風險

2020-12-12 中關村在線

  酒店業一直是駭客的覬覦之地,2018年華住集團旗下酒店5億條用戶個人信息疑遭洩露,萬豪旗下喜達屋酒店資料庫遭非法入侵致最多5億客人信息被竊,酒店服務類網站的個人數據保護已經成為全球的熱門話題。而近日,賽門鐵克在一個覆蓋全球54個國家及地區的1500多家酒店網站的研究報告中指出,酒店網站存在網頁表單內容劫持(Formjacking)的風險,其中三分之二 (67%) 的網站都在無意間將顧客預訂信息洩露給廣告商和分析公司等第三方網站。這些酒店網站均有隱私政策,但他們都沒有在其中明確提到此類行為。

  在行業內,廣告商追蹤用戶瀏覽痕跡、了解用戶的瀏覽習慣已不是秘密。但信息大範圍共享會使得第三方能夠登錄顧客預訂窗口,查看他們詳細的個人信息,甚至故意取消其預訂。《通用數據保護條例》(GDPR) 已經在歐洲施行了近一年之久,中國也在2017年6月推出了《網絡安全法》,旨在監管網絡安全、保護個人隱私和敏感信息,以及維護國家網絡空間主權和安全。然而直至今日,仍有許多酒店遲遲不願承認與面對,更沒有及時採取應對措施去解決相關問題。

  安全研究員隨機選擇了一些旅遊景點,並檢索了位於這些地點的不同級別的熱門酒店。從鄉村二星級普通酒店到豪華五星級海邊度假村等等,一些大型知名連鎖酒店的旗下品牌也被納入測試範疇。其中部分網站的預訂系統在隱私保護方面表現良好,只簡單顯示了基礎數據和停留日期,並未透露任何個人信息。但絕大多數網站都洩露了如下個人數據:姓名、電子郵件地址、郵寄地址、手機號碼、信用卡後四位數字、卡類型和有效日期、護照號等。


預訂信息樣本 - 顯示可能會洩露的顧客預訂數據類型

  在評測酒店中,超過一半 (57%) 的酒店會向顧客發送電子郵件確認預訂信息,並在郵件中提供可以直接訪問預訂信息的連結。其本意是為了方便顧客,讓顧客無需登錄即可進入預訂窗口。 然而,這些預定信息在通過電子郵件發送的同時,由於很多第三方會在同一網站上加載廣告,會導致直接訪問權會被共享給其他資源,或者被間接共享。賽門鐵克的測試表明,每次預訂平均會生成176個請求,雖然並非所有請求都包含詳細的預訂信息,但這一數字表明預訂數據會被大範圍共享。


個人信息可通過HTTP請求中的referrer欄位被間接共享

  研究測試發現,顧客如果使用電子郵件中收到的連結直接自動登錄到預定窗口,在此過程中加載的頁面可能會調用許多遠程資源,而這些外部對象發出的Web請求會直接將完整URL作為參數發送。在此次測試中,酒店預定碼被30多個不同的服務供應商共享,包括一些知名社交網絡、搜尋引擎以及廣告和分析服務供應商。在這種情況下,第三方服務可以登錄預訂窗口,查看詳細的個人信息,甚至取消顧客的預訂。值得強調的是,出現這種問題並非服務供應商的責任。

  此外,對於預訂數據的洩露,還有其他潛在的原因。有些數據洩露發生在預訂過程中,有些則發生在顧客手動登錄網站時。一些網站為了安全起見會生成一個令牌,然後通過 URL 而非安全證書進行傳送,但是這種做法也不值得提倡。 而且,在多數情況下即使顧客的酒店預訂已經被取消,預訂數據仍然可見,這便為攻擊者竊取個人信息提供了絕佳的機會。

  研究還發現,有超過四分之一 (29%) 的酒店網站沒有對電子郵件(包含ID)中的初始連結加密,這一點令人擔憂。一旦顧客點擊電子郵件中的HTTP連結,攻擊者便會在這一進程中攔截顧客憑證,從而達到查看或修改其預訂信息的目的。這一情形很可能發生在機場或酒店等使用公共熱點的場所,除非用戶主動使用VPN軟體來保護連結。甚至有個別預訂系統在其連結從HTTP重定向到HTTPS之前,就已經在預訂過程中將數據洩露給了伺服器。

  對酒店業而言,配置不當的雲存儲桶也經常導致數據洩露。這些信息隨後便可能在黑市上被兜售或用於身份欺詐。收集的數據越全面,其價值就越高。此外,目標性攻擊團夥也可能對商務人士和政府職員的行程進行攻擊。

  【建議服務預訂網站應統一使用加密連結 (HTTPS),並確保任何憑證都不會以URL參數的形式洩露,即使適用隱私條例允許也不例外(尤其是在歐洲),例如使用cookie。顧客可以檢查連結是否已加密,或者個人數據(如電子郵件地址)是否作為URL中的可見數據進行傳遞。】

調查區域:企業小調查(點擊預覽可查看效果)

本文屬於原創文章,如若轉載,請註明來源:三分之二酒店網站存在用戶數據洩露風險http://safe.zol.com.cn/715/7152517.html

safe.zol.com.cn true http://safe.zol.com.cn/715/7152517.html report 3621   酒店業一直是駭客的覬覦之地,2018年華住集團旗下酒店5億條用戶個人信息疑遭洩露,萬豪旗下喜達屋酒店資料庫遭非法入侵致最多5億客人信息被竊,酒店服務類網站的個人數據保護已經成為全球的熱門話題。而近日,賽門鐵克在一個覆蓋全球54個國家及地區的1500多家酒店網...

相關焦點

  • 賽門鐵克:三分之二的酒店網站洩漏客人預訂詳情
    Wueest測試了多個網站 – 包括54個國家/地區的1500多家酒店 – 以確定這個隱私問題的常見程度。我發現這些網站中有三分之二(67%)無意中將預訂參考代碼洩露給第三方網站,如廣告客戶和分析公司。他們都有隱私政策,但他們都沒有明確提到這種行為。
  • 12306用戶數據洩露 官網:其他網站或渠道流出
    據了解,在部分知名科技論壇以及網盤上,用戶當天已經可以下載到洩露的全部數據包。  烏雲漏洞平臺的相關專家證實,洩露的「12306用戶數據」至少有14萬之多。目前,烏雲漏洞平臺已經將這一漏洞交由國家網際網路應急中心處理。  據烏雲漏洞平臺介紹,尚無法確認是12306官方網站還是第三方搶票平臺洩露用戶數據。
  • Windows 10、iOS 和 Chrom 等在中國安全挑戰賽上被攻陷; 酒店預訂平臺洩露Booking.com用戶數據;
    Windows 10、iOS 和 Chrom 等在「天府杯」中國安全挑戰賽上被攻陷;酒店預訂平臺洩露Booking.com等在線預訂網站的用戶數據
  • 「殺熟」的數據從哪裡來?這些用戶數據洩露案例說不定你都聽過
    大數據「殺熟」的背後,離不開商家用大數據技術對你的精準畫像和分析,更離不開海量的數據。數據的經濟附加價值產生了數據洩露和被竊取的風險。Under Armour2018年3月30日,美國運動品牌Under Armour對外表示,旗下健身應用MyFitnessPal因存在數據漏洞而遭到黑客攻擊,一共有1.5億用戶的數據被洩露,這些數據中包含了用戶名、電子郵件地址和密碼等,不過官方強調,洩密數據並不包含駕駛證號、信用卡號、身份信息等更私密信息。
  • Facebook第三方網站登錄功能或令用戶數據面臨洩露風險
    ,則其個人數據就可能面臨被第三方網絡跟蹤者盜取的風險。 報告指出,網絡跟蹤者正在利用第三方網站來獲取Facebook的用戶數據。研究顯示,當一名用戶使用Facebook的登入應用程式界面(API)來登錄一個網站時,嵌入在這個網站上的第三方JavaScript跟蹤軟體就能搜集用戶的公開資料和電郵地址等個人信息。JavaScript是用於打造網頁的程式語言。
  • 3.83億開房記錄被洩露後,萬豪又又又洩露用戶數據了
    罰款上,英國數據隱私監管機構宣布,萬豪酒店集團因在 2014 年發生數據洩露將面臨近 9900 萬英鎊(約合1. 24 億美元)的罰款。因為它違反了歐盟GDPR(通用數據保護條例)條例。GDPR中存在明確規定,所有機構必須對所持有的個人數據負責,包括在合作或交易時需要進行適當的盡職調查,以及採取適當的措施評估已取得的個人數據,以及評估如何保護這些數據。
  • 調查:酒店網站2/3存在意外洩漏顧客資料風險
    網際網路安全技術公司公布了一項針對酒店服務網站安全調查報告。報告顯示,酒店服務網站2/3存在無意中把顧客的訂房信息和個人資料,洩漏給包括廣告商和數據分析業者等第3方網站。萬豪數據洩露5億用戶受到影響。據報導,賽門鐵克這項報告,調查了54個國家1500多家酒店網站,調查對象包括從2星級至5星級不同檔次的酒店。
  • 大麥網600多萬用戶帳號密碼洩露 數據已被售賣
    原創 鷹揚雷鋒網8月26日消息,烏雲漏洞報告平臺今日下午發布報告顯示,線上票務營銷平臺大麥網再次被發現存在安全漏洞,600餘萬用戶帳戶密碼遭到洩露。有烏雲白帽甚至發現,這些隱私數據已被黑產行業進行售賣與傳播。
  • 必勝客被黑致六萬用戶信息洩露個人數據安全如何保障?
    近日,全球連鎖餐飲企業必勝客就因為美國必勝客網站PizzaHut.com遭到黑客臨時入侵,導致大約6 萬人支付卡信息和聯繫信息等可能被盜。在此,360安全專家提醒廣大用戶注意保護個人信息安全,謹防黑客利用盜取的信息進行撞庫,引起更大的隱私和財產損失。
  • 12306購票網站用戶數據外洩 有人被惡作劇退票
    這時官方購票網站12306卻被曝用戶資料大量洩露,很多用戶身份證、郵箱等敏感信息在網絡上流傳,給廣大旅客造成信息安全威脅,甚至有人在網絡上反映,因信息洩露,預訂的車票被人惡作劇退掉了。  12306網站昨日很快回應道,網上洩露信息應該來自其他渠道,同時提醒用戶不要用第三方搶票軟體。
  • 2018年終盤點之數據安全 數據洩露讓人「觸目驚心」
    洩露內容:卡號、姓名、手機號、郵箱、身份證號、登錄密碼、入住時間、離開時間、酒店 id 號、房間號、消費金額  事件經過:8日,暗網中文論壇出現一個帖子,聲稱售賣華住集團旗下所有酒店數據,包括華住官網註冊資料、酒店入住登記身份信息、開房記錄。
  • 12306用戶數據遭洩露 官網:經其他網渠道流出
    據了解,在部分知名科技論壇以及網盤上,用戶當天已經可以下載到洩露的全部數據包。  烏雲漏洞平臺的相關專家證實,洩露的「12306用戶數據」至少有14萬之多。目前,烏雲漏洞平臺已經將這一漏洞交由國家網際網路應急中心處理。  據烏雲漏洞平臺介紹,尚無法確認是12306官方網站還是第三方搶票平臺洩露用戶數據。
  • 揭開App用戶數據洩露背後的黑產
    並要求微博儘快完善隱私政策,規範用戶個人信息收集使用行為,強化用戶查詢接口風險控制等安全保護策略等。新京報記者注意到,工信部與微博都提到了「接口」。那麼,什麼是「接口」?其在此次信息洩露中起到了什麼作用呢?貝松濤表示,App的用戶查詢接口指的是一個應用系統可能開放了某個API(應用程式接口),來做個人信息的查詢,這種API很關鍵,需要加強安全保護。
  • 旅遊預訂平臺Booking提供商數百萬用戶數據洩露
    旅遊預訂平臺Booking提供商數百萬用戶數據洩露 站長之家(ChinaZ.com) 11月9日 消息:除了疫情,國外酒店業現在還面臨著一個潛在的嚴重安全問題
  • 華住集團用戶數據被洩露 誰是受益者和受害者
    近日,華住旗下的所有酒店數據在網上被標價出售,涉及資料包括姓名、手機號、身份證號等重要主要數據信息。此消息一出,瞬間鬧得沸沸揚揚。因為這些數據直接關係到眾多公民的隱私,如果被不法分子取得,將會給全社會帶來巨大的災難。如何防止數據丟失將成為我們關心的熱點話題。 文/淺草財經嚴重的拖庫事件數據洩露時常發生,而且有愈演愈烈的趨勢。
  • 華住旗下酒店1.3億用戶數據洩露 華住回應:已報警
    新京報快訊 (記者王真真 王慶濱)華住酒店數據疑似被洩露。8月28日,暗網中文論壇上出現一則出售華住酒店數據的帖子,涉及1.3億人身份及開房信息的數據被標價為8比特幣或520門羅幣(約等於37萬人民幣)出售。
  • Booking Expedia等網站的用戶數據被第三方洩漏
    西班牙巴塞隆納一家名為Prestige Software的軟體公司洩漏了全球數百萬客戶的敏感、隱私和財務數據。尤其是來自Booking.com、Expedia、Agoda、Amadeus、Hotels.com、Hotelbeds、Omnibees、Sabre等幾家公司的客戶都是此次數據洩露事件的意外受害者。
  • 近期國內外重大數據洩露事件
    Facebook帳戶信息洩露事件根據網絡安全公司Cyble透露,53萬Zoom帳號在暗網上公開叫賣,1個帳號的價格只有0.002美分,總價也才10美元左右。Cyble買下了這53萬個帳戶信息,用來給用戶發帳戶洩露風險的提示。
  • 調查:百度地圖涉嫌洩露用戶敏感數據
    近日,根據派拓網絡(Palo Alto Networks)旗下的UNIT42研究小組的最新報告,在Android官方應用商店Google Play(通常業界認為這是最安全的Android應用商店)中,兩款下載量合計超過600萬的百度應用——百度搜索框和百度地圖,存在洩露用戶敏感數據的安全問題。
  • 漢庭、諾富特、桔子、全季……網傳5億條酒店開房數據洩露
    上述酒店均為華住集團旗下酒店品牌。而涉嫌洩露的個人信息數據則多達140G約5億條。2005年以經濟型酒店漢庭起家的華住酒店集團如今已是全球規模排名第9位的酒店集團,目前在中國超過370座城市已擁有3700多家酒店。網絡披露信息還稱,黑客已在網上售賣這些個人信息。