賽門鐵克公司的研究員們隨機選擇了一些旅游景點�����,并檢索了位于這些地點的不同級別的熱門酒店�����。從鄉(xiāng)村二星級普通酒店到豪華五星級海邊度假村等等,一些大型知名連鎖酒店的旗下品牌也被納入測試范疇����,這意味著賽門鐵克公司的調(diào)查結(jié)果基本上可以反映業(yè)內(nèi)普遍情況。其中部分網(wǎng)站的預訂系統(tǒng)在隱私保護方面表現(xiàn)良好�,只簡單顯示了基礎(chǔ)數(shù)據(jù)和停留日期,并未透露任何個人信息���。但絕大多數(shù)網(wǎng)站都泄露了如下個人數(shù)據(jù):
· 姓名
· 電子郵件地址
· 郵寄地址
· 手機號碼
· 信用卡后四位數(shù)字�、卡類型和有效日期
· 護照號
圖 1.預訂信息樣本 – 顯示可能會泄露的顧客預訂數(shù)據(jù)類型
數(shù)據(jù)泄露的原因
在賽門鐵克公司研究員評測的酒店中��,超過一半 (57%) 的酒店會向顧客發(fā)送電子郵件確認預訂信息����,并在郵件中提供可以直接訪問預訂信息的鏈接�。其本意是為了方便顧客��,讓顧客無需登錄即可進入預訂窗口��。 然而���,這些預定信息在通過電子郵件發(fā)送的同時�����,由于很多第三方會在同一網(wǎng)站上加載廣告���,會導致直接訪問權(quán)會被共享給其他資源,或者被間接共享�。賽門鐵克的測試表明,每次預訂平均會生成 176 個請求����,雖然并非所有請求都包含詳細的預訂信息,但這一數(shù)字表明預訂數(shù)據(jù)會被大范圍共享���。
圖 2.測試示例 – 個人信息可通過 HTTP 請求中的 referrer 字段被間接共享
研究測試發(fā)現(xiàn),顧客如果使用電子郵件中收到的鏈接直接自動登錄到預定窗口,在此過程中加載的頁面可能會調(diào)用許多遠程資源,而這些外部對象發(fā)出的Web請求會直接將完整URL作為參數(shù)發(fā)送�。在此次測試中,酒店預定碼被30多個不同的服務(wù)供應商共享���,包括一些知名社交網(wǎng)絡(luò)����、搜索引擎以及廣告和分析服務(wù)供應商���。在這種情況下���,第三方服務(wù)可以登錄預訂窗口,查看詳細的個人信息���,甚至取消顧客的預訂����。值得強調(diào)的是,出現(xiàn)這種問題并非服務(wù)供應商的責任�。
此外����,對于預訂數(shù)據(jù)的泄露����,還有其他潛在的原因。有些數(shù)據(jù)泄露發(fā)生在預訂過程中����,有些則發(fā)生在顧客手動登錄網(wǎng)站時���。一些網(wǎng)站為了安全起見會生成一個令牌����,然后通過 URL 而非安全證書進行傳送�,但是這種做法也不值得提倡。 而且�����,在多數(shù)情況下即使顧客的酒店預訂已經(jīng)被取消,預訂數(shù)據(jù)仍然可見,這便為攻擊者竊取個人信息提供了絕佳的機會�。
值得一提的是,一些配置良好的網(wǎng)站會先識別安全憑證���,然后在設(shè)置 cookie 后重新定向���,以確保數(shù)據(jù)不會泄露�。
未加密的鏈接
研究發(fā)現(xiàn),有超過四分之一 (29%) 的酒店網(wǎng)站沒有對電子郵件(包含 ID)中的初始鏈接加密,這一點令人擔憂��。一旦顧客點擊電子郵件中的 HTTP 鏈接,攻擊者便會在這一進程中攔截顧客憑證,從而達到查看或修改其預訂信息的目的����。這一情形很可能發(fā)生在機場或酒店等使用公共熱點的場所��,除非用戶主動使用 VPN 軟件來保護鏈接���。甚至有個別預訂系統(tǒng)在其鏈接從HTTP重定向到 HTTPS 之前,就已經(jīng)在預訂過程中將數(shù)據(jù)泄露給了服務(wù)器��。
這一問題并非只出現(xiàn)在酒店業(yè)�����,網(wǎng)站通過 URL 參數(shù)或 referrer 字段意外泄露敏感信息的現(xiàn)象屢見不鮮�。近幾年來��,很多航空公司�、度假景點和其他行業(yè)網(wǎng)站都出現(xiàn)過類似問題。2019 年 2 月����,賽門鐵克的研究人員便發(fā)現(xiàn)多家航空公司服務(wù)供應商在使用未加密鏈接時出現(xiàn)了類似的問題。
潛在風險
最近賽門鐵克旗下公司諾頓 LifeLock發(fā)布的《2018年諾頓LifeLock網(wǎng)絡(luò)安全調(diào)查報告》顯示�,85%的中國人比以往更加警惕隱私安全——這一數(shù)字在全球參與調(diào)查的16個國家和地區(qū)中占居前列。然而����,大多數(shù)人依舊愿意承擔一定隱私泄露的風險以追求便利(62%)���。
許多人都喜歡在社交媒體上發(fā)布照片,與大家分享他們在旅行中的點滴回憶����。有些人甚至會直接分享他們的票務(wù)信息。但當他們到達酒店時卻發(fā)現(xiàn)預定被取消�,才會了解自己的一時大意可能會造成什么樣的后果。雖然攻擊者這么做可能是出于取樂或報復的心態(tài)�,但也不排除勒索敲詐或者競爭對手暗箱操作的可能,這也會對酒店的聲譽造成影響����。
對酒店業(yè)而言,配置不當?shù)脑拼鎯ν耙步?jīng)常導致數(shù)據(jù)泄露��。這些信息隨后便可能在黑市上被兜售或用于身份欺詐����。收集的數(shù)據(jù)越全面,其價值就越高��。 此外���,目標性攻擊團伙也可能對商務(wù)人士和政府職員的行程進行攻擊�����。眾所周知���,DarkHotel / Armyworm、OceanLotus / Destroyer����,Swallowtail 和 等 APT 組織已經(jīng)對酒店業(yè)產(chǎn)生了惡劣影響���。這些團伙瞄準酒店業(yè)的原因有很多����,比如監(jiān)視目標���、跟蹤行程和探查隨行人員,或者為了了解某一用戶在某一地點停留的時長����,甚至實地侵入目標的位置等��。
解決問題
無論是歐盟的GDPR還是我國的《網(wǎng)絡(luò)安全法》��,都對對個人數(shù)據(jù)的保護作出了強調(diào)����。然而賽門鐵克公司對存在這一問題的酒店業(yè)進行的調(diào)查結(jié)果顯示實際情況并不樂觀。就此調(diào)查結(jié)果��,賽門鐵克也聯(lián)系了相關(guān)的酒店數(shù)據(jù)隱私官(DPO)��,一些DPO認為這些數(shù)據(jù)并非”個人數(shù)據(jù)”,必須要根據(jù)隱私政策與廣告公司共享��;一些則承認他們?nèi)栽谏壪到y(tǒng)��,直至完全符合GDPR標準���。
服務(wù)預訂網(wǎng)站應統(tǒng)一使用加密鏈接 (HTTPS)�����,并確保任何憑證都不會以 URL 參數(shù)的形式泄露����,即使適用隱私條例允許也不例外(尤其是在歐洲),例如使用 cookie��。顧客可以檢查鏈接是否已加密�����,或者個人數(shù)據(jù)(如電子郵件地址)是否作為 URL 中的可見數(shù)據(jù)進行傳遞�。他們還可以使用 VPN 服務(wù)來最大限度地降低使用公共熱點而帶來的信息泄露風險�。遺憾的是,對于普通的酒店顧客來說����,察覺信息泄露并非易事,而如果他們要預訂特定的酒店�,選擇的余地也就變的非常有限。到目前為止����,已經(jīng)報告超過 20 萬起,用戶個人數(shù)據(jù)仍然面臨著風險�����。
