晨报记者 李晓明 近日,全球网络安全公司赛门铁克发布了一个覆盖全球54个国家及地区的1500多家酒店网站的研究报告,结果发现,有三分之二(67%)的酒店网站在无意间将顾客预订信息泄露给广告商和分析公司等第三方网站。 ?信息泄露有多严重 赛门铁克大中华区首席运营官罗少辉介绍,此次测试中,研究员们随机选择了一些旅游景点,并检索了位于这些地点的不同级别的热门酒店,从乡村二星级普通酒店到豪华五星级海边度假村等,一些大型知名连锁酒店的旗下品牌也被纳入测试范畴。 报告显示,部分酒店网站的预订系统在隐私保护方面表现良好,只简单显示了基础数据和停留日期,并未透露任何个人信息。但大多数酒店网站泄露了诸多个人数据,包括姓名、电子邮件地址、邮寄地址、手机号码、信用卡后4位数字、卡类型和有效日期、护照号等关键个人信息。1500多家酒店网站中有67%的比例存在信息泄露问题。 ?酒店为何成重灾区 为何酒店成为信息泄露的重灾区?对此,罗少辉指出,除了酒店防范能力先天不足外,酒店数据的“高价值”,使得酒店数据成为黑客眼中的“香饽饽”。 住过酒店的人都知道,酒店在录入个人信息时,除了姓名、手机号这样的数据,还会有身份证、护照等证件信息,甚至信用卡信息。可以说,这是一份相当详实的个人信息。而且,酒店尤其是酒店集团,掌握的数据库非常庞大,一旦破解就能方便地获取相当大规模的个人数据,这些数据可以分门别类、明码标价在网上售卖,也可以整体打包出售。 据保守估计,去年犯罪分子通过在暗网兜售消费者个人及财务信息,牟取了数千万美元的不义之财。一张信用卡信息在地下销售论坛上最高可叫卖到45美元。 ?信息从何渠道泄露 罗少辉指出,信息共享使得酒店数据泄露存在着诸多渠道。 在赛门铁克公司研究员评测的酒店中,超过一半(57%)的酒店会向顾客发送电子邮件确认预订信息,并在邮件中提供可以直接访问预订信息的链接。然而,这些预订信息在通过电子邮件发送的同时,由于很多第三方会在同一网站上加载广告,导致直接访问权会被共享给其他资源,或者被间接共享。赛门铁克的测试表明,每次预订平均会生成176个请求,虽然并非所有请求都包含详细的预订信息,但这一数字表明预订数据会被大范围共享。 研究测试发现,顾客如果使用电子邮件中收到的链接直接自动登录到预订窗口,在此过程中加载的页面可能会调用许多远程资源,而这些外部对象发出的W eb请求会直接将完整URL作为参数发送。在此次测试中,酒店预订码被30多个不同的服务供应商共享,包括一些知名社交网络、搜索引擎以及广告和分析服务供应商。在这种情况下,第三方服务可以登录预订窗口,查看详细的个人信息。 研究还发现,有超过四分之一(29%)的酒店网站没有对电子邮件(包含ID)中的初始链接加密,这一点令人担忧。一旦顾客点击电子邮件中的HTTP链接,攻击者便会在这一进程中拦截顾客凭证,从而达到查看或修改其预订信息的目的。这一情形很可能发生在机场或酒店等使用公共热点的场所,除非用户主动使用VPN软件来保护链接。甚至有个别预订系统在其链接从HTTP重定向到HTTPS之前,就已经在预订过程中将数据泄露给了服务器。 ?如何解决这一问题 如何解决这一问题,罗少辉认为,酒店服务预订网站应统一使用加密链接(HTTPS),并确保任何凭证都不会以URL参数的形式泄露,即使适用隐私条例允许也不例外。例如使用cookie。顾客可以检查链接是否已加密,或者个人数据(如电子邮件地址)是否作为URL中的可见数据进行传递,他们还可以使用VPN服务来最大限度地降低使用公共热点而带来的信息泄露风险。 |
热门推荐
收起24小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注(sinafinance)