Еще одна отрасль, похоже, не так озабочена безопасностью наших данных, как нам хотелось бы. Когда вы бронируете номер в отеле, и вам отправляют по электронной почте детали бронирования, возможно, вы не единственный человек, имеющий доступ к документам. Symantec обнаружила на многих веб-сайтах отелей ошибки, свидетельствующие об утечке конфиденциальной информации.
Утечка данных о бронировании отеля
Прежде чем идти дальше, нам нужно оглянуться на несколько десятилетий назад и осознать, насколько проще Интернет облегчил бронирование путешествий. Помните, когда вам приходилось звонить турагенту, чтобы забронировать номер в отеле или рейс?
Вы могли бы забронировать отель, если бы знали о его существовании, но без Интернета вы не знали бы, какие отели расположены на определенном пляже или недалеко от аэропорта, если бы вы никогда раньше не бывали в этом районе. И другого способа забронировать авиабилеты не было. Интернет не только упростил бронирование поездок, но и предоставил нам гораздо больше контроля, позволяющего самостоятельно выбирать все варианты.
Но Symantec говорит нам, что за свободу приходится платить. Сотни веб-сайтов отелей имеют недостатки, из-за которых происходит утечка конфиденциальной информации, включая ваше имя, номер телефона, адрес, электронное письмо с подтверждением и даже номер вашего паспорта. Помните, что благодаря этой информации хакеры узнают ваш адрес и время вашего отсутствия в течение длительного периода времени.
Исследователь угроз Symantec Кандид Вуест просмотрел более 1500 веб-сайтов отелей в более чем 50 странах. Он обнаружил, что у двух третей из них были проблемы с безопасностью.
Сеть отелей Marriott недавно открыто заявила о кибератаках, а также отели Sheraton, Westin, Starwood и Wyndham. В ноябре прошлого года Marriott признал, что хакеры украли записи до 383 миллионов гостей. Это стало одной из крупнейших утечек персональных данных в истории.
Одним из распространенных недостатков безопасности в отелях является URL-адрес, который они отправляют гостям по электронной почте. Около 850 веб-сайтов отелей не требуют аутентификации, чтобы просмотреть подробную информацию по этому URL-адресу. Удивительно, но Вуест отмечает, что треть отелей включают в этот URL номер бронирования.
В эти страницы встроены рекламодатели и сторонние аналитические инструменты, а это означает, что они также получают URL-адрес, оставляя его открытым для потенциальных кибератак. Вуэст обнаружил, что запрос Google Analytics на странице подтверждения бронирования гостиницы включал URL-адрес, а также номер бронирования.
Многие веб-сайты отелей также уязвимы для атак методом перебора. Машина могла угадать любую возможную комбинацию восьмизначного пароля менее чем за три часа. На веб-сайте одного отеля Вуест использовал грубую силу, чтобы просмотреть все активные бронирования.
Ответственность отеля
К сожалению, на данный момент ситуация не становится намного лучше. Ответственность за улучшение своей работы будет лежать на гостиничных сетях.
К сожалению, Вуест сообщает, что, когда он обратился к отелям, чтобы показать им проблемы с мерами безопасности, четверть из них игнорировала предупреждения в течение более шести недель. Он рекомендует прекратить включать информацию о бронировании в URL-адрес и начать использовать аутентификацию на страницах подтверждения.
Вы часто бронируете поездки? Вас беспокоит новость об утечке данных о бронировании отелей? Прокомментируйте ниже свои мысли и опасения.
