三分之二的酒店網(wǎng)站泄露客人預(yù)訂信息給第三方
責(zé)編:gltian |2019-04-12 11:29:55在大多數(shù)酒店網(wǎng)站上運(yùn)行的第三方服務(wù)可以訪問(wèn)客人預(yù)訂信息,包括個(gè)人數(shù)據(jù)和支付卡詳細(xì)信息。他們獲取的數(shù)據(jù)也允許他們?nèi)∠A(yù)訂。遍布54個(gè)國(guó)家/地區(qū)的1,500多家酒店的多個(gè)網(wǎng)站未能保護(hù)用戶(hù)信息免受廣告商和分析公司等合作伙伴服務(wù)的影響。在67%的研究案例中,某些級(jí)別的個(gè)人信息通過(guò)預(yù)訂系統(tǒng)泄露。
以這種方式公開(kāi)的數(shù)據(jù)可能包括客人的全名,電子郵件和實(shí)際地址,電話(huà)號(hào)碼,支付卡的最后四位數(shù)字、支付卡的類(lèi)型、到期日期以及護(hù)照號(hào)碼。
預(yù)訂鏈接和第三方服務(wù)存在隱私風(fēng)險(xiǎn)
大多數(shù)酒店預(yù)訂網(wǎng)站都會(huì)向客人發(fā)送一封確認(rèn)電子郵件,其中包含不需要登錄的預(yù)訂詳細(xì)信息的直接鏈接。電子郵件地址和預(yù)訂ID將作為鏈接的參數(shù)傳遞。當(dāng)客戶(hù)登陸加載來(lái)自第三方的其他內(nèi)容的網(wǎng)站時(shí),就會(huì)發(fā)生隱私問(wèn)題。
另外一個(gè)有關(guān)的發(fā)現(xiàn)是,即使取消預(yù)訂,預(yù)訂數(shù)據(jù)仍然存在。這將允許攻擊者為不是目標(biāo)酒店的客人的個(gè)人信息收集記錄。
通過(guò)搜索引擎進(jìn)行預(yù)訂也不是更安全的方法。研究人員發(fā)現(xiàn),他測(cè)試的五個(gè)第三方服務(wù)中有兩項(xiàng)泄露了憑據(jù),另一項(xiàng)未通過(guò)安全連接發(fā)送登錄鏈接。
數(shù)據(jù)安全風(fēng)險(xiǎn)違反GDPR
由于數(shù)據(jù)到達(dá)被網(wǎng)站信任的第三方提供商,因此與這些泄漏相關(guān)的風(fēng)險(xiǎn)可能被認(rèn)為足夠低而不會(huì)引起擔(dān)憂(yōu)。但是,內(nèi)部惡意人員可能會(huì)收集相關(guān)URL并使用它們來(lái)竊取客戶(hù)信息。
在歐洲,這些做法違反了“一般數(shù)據(jù)保護(hù)條例”(GDPR)的規(guī)定。當(dāng)酒店的數(shù)據(jù)隱私 官在被告知隱私風(fēng)險(xiǎn)六周后,25%的人沒(méi)有回復(fù)。那些回復(fù)的人平均需要10天才能發(fā)出回復(fù),并說(shuō)他們會(huì)承諾解決問(wèn)題。
參考鏈接:https://www.bleepingcomputer.com/news/security/two-thirds-of-hotel-sites-leak-guest-booking-info-to-third-parties/
原文鏈接:http://toutiao.secjia.com/article/page?topid=111419
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿(mǎn)落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧