三分之二的酒店網站泄露客人預訂信息給第三方
責編:gltian |2019-04-12 11:29:55在大多數酒店網站上運行的第三方服務可以訪問客人預訂信息,包括個人數據和支付卡詳細信息。他們獲取的數據也允許他們取消預訂。遍布54個國家/地區的1,500多家酒店的多個網站未能保護用戶信息免受廣告商和分析公司等合作伙伴服務的影響。在67%的研究案例中,某些級別的個人信息通過預訂系統泄露。
以這種方式公開的數據可能包括客人的全名,電子郵件和實際地址,電話號碼,支付卡的最后四位數字、支付卡的類型、到期日期以及護照號碼。
預訂鏈接和第三方服務存在隱私風險
大多數酒店預訂網站都會向客人發送一封確認電子郵件,其中包含不需要登錄的預訂詳細信息的直接鏈接。電子郵件地址和預訂ID將作為鏈接的參數傳遞。當客戶登陸加載來自第三方的其他內容的網站時,就會發生隱私問題。
另外一個有關的發現是,即使取消預訂,預訂數據仍然存在。這將允許攻擊者為不是目標酒店的客人的個人信息收集記錄。
通過搜索引擎進行預訂也不是更安全的方法。研究人員發現,他測試的五個第三方服務中有兩項泄露了憑據,另一項未通過安全連接發送登錄鏈接。
數據安全風險違反GDPR
由于數據到達被網站信任的第三方提供商,因此與這些泄漏相關的風險可能被認為足夠低而不會引起擔憂。但是,內部惡意人員可能會收集相關URL并使用它們來竊取客戶信息。
在歐洲,這些做法違反了“一般數據保護條例”(GDPR)的規定。當酒店的數據隱私 官在被告知隱私風險六周后,25%的人沒有回復。那些回復的人平均需要10天才能發出回復,并說他們會承諾解決問題。