賽門鐵克公司的研究員們隨機(jī)選擇了一些旅游景點(diǎn)���,并檢索了位于這些地點(diǎn)的不同級(jí)別的熱門酒店�。從鄉(xiāng)村二星級(jí)普通酒店到豪華五星級(jí)海邊度假村等等�,一些大型知名連鎖酒店的旗下品牌也被納入測(cè)試范疇,這意味著賽門鐵克公司的調(diào)查結(jié)果基本上可以反映業(yè)內(nèi)普遍情況�����。其中部分網(wǎng)站的預(yù)訂系統(tǒng)在隱私保護(hù)方面表現(xiàn)良好��,只簡(jiǎn)單顯示了基礎(chǔ)數(shù)據(jù)和停留日期�,并未透露任何個(gè)人信息。但絕大多數(shù)網(wǎng)站都泄露了如下個(gè)人數(shù)據(jù):
· 姓名
· 電子郵件地址
· 郵寄地址
· 手機(jī)號(hào)碼
· 信用卡后四位數(shù)字�、卡類型和有效日期
· 護(hù)照號(hào)
圖 1.預(yù)訂信息樣本 – 顯示可能會(huì)泄露的顧客預(yù)訂數(shù)據(jù)類型
數(shù)據(jù)泄露的原因
在賽門鐵克公司研究員評(píng)測(cè)的酒店中�����,超過一半 (57%) 的酒店會(huì)向顧客發(fā)送電子郵件確認(rèn)預(yù)訂信息�,并在郵件中提供可以直接訪問預(yù)訂信息的鏈接��。其本意是為了方便顧客��,讓顧客無需登錄即可進(jìn)入預(yù)訂窗口��。 然而��,這些預(yù)定信息在通過電子郵件發(fā)送的同時(shí)����,由于很多第三方會(huì)在同一網(wǎng)站上加載廣告,會(huì)導(dǎo)致直接訪問權(quán)會(huì)被共享給其他資源���,或者被間接共享��。賽門鐵克的測(cè)試表明���,每次預(yù)訂平均會(huì)生成 176 個(gè)請(qǐng)求,雖然并非所有請(qǐng)求都包含詳細(xì)的預(yù)訂信息���,但這一數(shù)字表明預(yù)訂數(shù)據(jù)會(huì)被大范圍共享��。
圖 2.測(cè)試示例 – 個(gè)人信息可通過 HTTP 請(qǐng)求中的 referrer 字段被間接共享
研究測(cè)試發(fā)現(xiàn)�,顧客如果使用電子郵件中收到的鏈接直接自動(dòng)登錄到預(yù)定窗口,在此過程中加載的頁面可能會(huì)調(diào)用許多遠(yuǎn)程資源�,而這些外部對(duì)象發(fā)出的Web請(qǐng)求會(huì)直接將完整URL作為參數(shù)發(fā)送。在此次測(cè)試中����,酒店預(yù)定碼被30多個(gè)不同的服務(wù)供應(yīng)商共享,包括一些知名社交網(wǎng)絡(luò)��、搜索引擎以及廣告和分析服務(wù)供應(yīng)商���。在這種情況下�����,第三方服務(wù)可以登錄預(yù)訂窗口,查看詳細(xì)的個(gè)人信息�����,甚至取消顧客的預(yù)訂��。值得強(qiáng)調(diào)的是,出現(xiàn)這種問題并非服務(wù)供應(yīng)商的責(zé)任�。
此外,對(duì)于預(yù)訂數(shù)據(jù)的泄露����,還有其他潛在的原因。有些數(shù)據(jù)泄露發(fā)生在預(yù)訂過程中��,有些則發(fā)生在顧客手動(dòng)登錄網(wǎng)站時(shí)�。一些網(wǎng)站為了安全起見會(huì)生成一個(gè)令牌,然后通過 URL 而非安全證書進(jìn)行傳送��,但是這種做法也不值得提倡����。 而且,在多數(shù)情況下即使顧客的酒店預(yù)訂已經(jīng)被取消���,預(yù)訂數(shù)據(jù)仍然可見����,這便為攻擊者竊取個(gè)人信息提供了絕佳的機(jī)會(huì)���。
值得一提的是����,一些配置良好的網(wǎng)站會(huì)先識(shí)別安全憑證,然后在設(shè)置 cookie 后重新定向���,以確保數(shù)據(jù)不會(huì)泄露�。
未加密的鏈接
研究發(fā)現(xiàn)���,有超過四分之一 (29%) 的酒店網(wǎng)站沒有對(duì)電子郵件(包含 ID)中的初始鏈接加密��,這一點(diǎn)令人擔(dān)憂����。一旦顧客點(diǎn)擊電子郵件中的 HTTP 鏈接�����,攻擊者便會(huì)在這一進(jìn)程中攔截顧客憑證���,從而達(dá)到查看或修改其預(yù)訂信息的目的。這一情形很可能發(fā)生在機(jī)場(chǎng)或酒店等使用公共熱點(diǎn)的場(chǎng)所�����,除非用戶主動(dòng)使用 VPN 軟件來保護(hù)鏈接。甚至有個(gè)別預(yù)訂系統(tǒng)在其鏈接從HTTP重定向到 HTTPS 之前���,就已經(jīng)在預(yù)訂過程中將數(shù)據(jù)泄露給了服務(wù)器���。
這一問題并非只出現(xiàn)在酒店業(yè),網(wǎng)站通過 URL 參數(shù)或 referrer 字段意外泄露敏感信息的現(xiàn)象屢見不鮮��。近幾年來���,很多航空公司�、度假景點(diǎn)和其他行業(yè)網(wǎng)站都出現(xiàn)過類似問題�。2019 年 2 月,賽門鐵克的研究人員便發(fā)現(xiàn)多家航空公司服務(wù)供應(yīng)商在使用未加密鏈接時(shí)出現(xiàn)了類似的問題��。
潛在風(fēng)險(xiǎn)
最近賽門鐵克旗下公司諾頓 LifeLock發(fā)布的《2018年諾頓LifeLock網(wǎng)絡(luò)安全調(diào)查報(bào)告》顯示�,85%的中國人比以往更加警惕隱私安全——這一數(shù)字在全球參與調(diào)查的16個(gè)國家和地區(qū)中占居前列。然而����,大多數(shù)人依舊愿意承擔(dān)一定隱私泄露的風(fēng)險(xiǎn)以追求便利(62%)。
許多人都喜歡在社交媒體上發(fā)布照片�����,與大家分享他們?cè)诼眯兄械狞c(diǎn)滴回憶。有些人甚至?xí)苯臃窒硭麄兊钠眲?wù)信息�。但當(dāng)他們到達(dá)酒店時(shí)卻發(fā)現(xiàn)預(yù)定被取消,才會(huì)了解自己的一時(shí)大意可能會(huì)造成什么樣的后果�����。雖然攻擊者這么做可能是出于取樂或報(bào)復(fù)的心態(tài)���,但也不排除勒索敲詐或者競(jìng)爭(zhēng)對(duì)手暗箱操作的可能���,這也會(huì)對(duì)酒店的聲譽(yù)造成影響。
對(duì)酒店業(yè)而言�,配置不當(dāng)?shù)脑拼鎯?chǔ)桶也經(jīng)常導(dǎo)致數(shù)據(jù)泄露。這些信息隨后便可能在黑市上被兜售或用于身份欺詐���。收集的數(shù)據(jù)越全面��,其價(jià)值就越高���。 此外,目標(biāo)性攻擊團(tuán)伙也可能對(duì)商務(wù)人士和政府職員的行程進(jìn)行攻擊�����。眾所周知����,DarkHotel / Armyworm、OceanLotus / Destroyer��,Swallowtail 和 等 APT 組織已經(jīng)對(duì)酒店業(yè)產(chǎn)生了惡劣影響��。這些團(tuán)伙瞄準(zhǔn)酒店業(yè)的原因有很多���,比如監(jiān)視目標(biāo)����、跟蹤行程和探查隨行人員��,或者為了了解某一用戶在某一地點(diǎn)停留的時(shí)長(zhǎng)�,甚至實(shí)地侵入目標(biāo)的位置等。
解決問題
無論是歐盟的GDPR還是我國的《網(wǎng)絡(luò)安全法》�����,都對(duì)對(duì)個(gè)人數(shù)據(jù)的保護(hù)作出了強(qiáng)調(diào)��。然而賽門鐵克公司對(duì)存在這一問題的酒店業(yè)進(jìn)行的調(diào)查結(jié)果顯示實(shí)際情況并不樂觀。就此調(diào)查結(jié)果��,賽門鐵克也聯(lián)系了相關(guān)的酒店數(shù)據(jù)隱私官(DPO)����,一些DPO認(rèn)為這些數(shù)據(jù)并非”個(gè)人數(shù)據(jù)”,必須要根據(jù)隱私政策與廣告公司共享�����;一些則承認(rèn)他們?nèi)栽谏?jí)系統(tǒng)�����,直至完全符合GDPR標(biāo)準(zhǔn)�。
服務(wù)預(yù)訂網(wǎng)站應(yīng)統(tǒng)一使用加密鏈接 (HTTPS),并確保任何憑證都不會(huì)以 URL 參數(shù)的形式泄露��,即使適用隱私條例允許也不例外(尤其是在歐洲)�����,例如使用 cookie�����。顧客可以檢查鏈接是否已加密,或者個(gè)人數(shù)據(jù)(如電子郵件地址)是否作為 URL 中的可見數(shù)據(jù)進(jìn)行傳遞����。他們還可以使用 VPN 服務(wù)來最大限度地降低使用公共熱點(diǎn)而帶來的信息泄露風(fēng)險(xiǎn)。遺憾的是���,對(duì)于普通的酒店顧客來說,察覺信息泄露并非易事����,而如果他們要預(yù)訂特定的酒店,選擇的余地也就變的非常有限����。到目前為止,已經(jīng)報(bào)告超過 20 萬起��,用戶個(gè)人數(shù)據(jù)仍然面臨著風(fēng)險(xiǎn)��。
