Study Finds almost 70% of Hotel Websites
Leak Guests Data
來源: 猎云网 作者:Candid Wueest
最近在研究飯店網站的安全性時,我偶然發現了一個可能洩漏顧客個人數據的問題。為了確定該漏洞是否普遍,我的調查對象,包括54個國家和地區,在內的1500多家飯店網站。
結果顯示,這些網站中有三分之二(約67%),無意中將顧客的訂房資訊和個人資料,洩露給第三方網站,如廣告客戶和分析公司。這些飯店網站均有隱私政策,但他們並未明確提及這種行為。
雖然廣告商跟蹤消費者的瀏覽記錄,已經是公開的秘密,但在這種情況下,被共享資訊,允許這些第三方服務商,獲取登錄權限,查看顧客訂單的詳細資訊,甚至完全取消訂單。
歐洲《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR)生效已近一年,但受此問題影響的許多飯店的反應速度非常遲緩,更不用說落實這一條例。
我調查的飯店檔次不同,包括鄉村二星級飯店,至豪華五星級度假村。旅遊景點的選擇,基本上是隨機的,隨後我在搜索引擎上比對最佳的飯店搜索結果。
我也測試了一部分知名連鎖飯店的分店,這就意味著其結果,可以反映該連鎖飯店的普遍情況。
部分飯店預訂系統比較完善,只顯示了一些數字和訂單日期,並沒有透露任何個人資訊。但大多數系統洩露了個人數據,例如顧客姓名、電子郵件地址、郵寄地址、手機號碼、信用卡的最後四位數字、卡類型、到期日、護照號碼等。
資訊洩漏的原因
在被測試的網站中,超過一半(57%)向客戶,發送內含可直接訪問,其預訂鏈接的確認郵件。飯店為使服務更便利,顧客無需登錄,只需點擊鏈接即可直接進入預訂頁面。
由於電子郵件內含靜態鏈接,因此HTTP POST Web請求,實際上不是一個選項,這意味著預訂號碼和電子郵件,將作為URL本身的參數傳遞。就其本身而言,這不矛盾。但是,許多站點,直接在同一網站上加載其他內容,例如廣告。
這意味著便利顧客預訂的同時,可以直接與其他資源共享,也可以透過HTTP,請求中的referrer字段間接共享。該測試表明,每次預訂平均生成176個請求,但並非所有請求都包含訂單的詳細資訊。這一數字也顯示,訂單資訊可以被廣泛共享。
相同的數據也存在於referrer字段中,後者在大多數情況下,由瀏覽器發送。這使預訂號碼,被30多個不同的服務提供商共享,包括知名的社交網路、搜索引擎,以及廣告和分析服務。這些資訊允許這些第三方服務商,獲取登錄權限,查看顧客訂單的詳細資訊,甚至完全取消訂單。
值得注意的是,這種情況並不是服務提供商的錯。
其他情況下,訂單資訊也可能洩露。部分網站資訊洩露會發生在預訂過程中,另一些會發生在客戶手動登錄網站時。其他網站則生成一個訪問令牌,以URL而非憑據的形式傳遞資訊(這種做法本身有待商榷)。
在大多數情況下,我發現即使訂單被取消,訂單資訊仍然可見,從而為心懷不軌的人,提供了竊取個人資訊的可趁之機。
飯店比價網站,和預訂引擎相對而言比較安全。在五個被測試的服務網站中,有兩個網站洩露了憑據,一個發送了未加密的登錄鏈接。
應當注意的是,在測試過程中,我檢測到一些配置良好的網站首先消化憑證,然後在設置cookie後重新定向,從而確保數據安全。
未加密的鏈接
由於數據僅與網站信任的第三方提供商共享,因此可以認為,該問題的隱私風險較低。然而,令人頭疼的是,超過四分之一(29%)的飯店網站,未對包含該ID的電子郵件中,附有的初始鏈接進行加密。
因此,客戶在點擊郵件中的HTTP鏈接時,潛在駭客可以攔截其憑證,例如,查看或修改該客戶的訂單。這種情況可能發生在,機場或飯店等公共熱點環境下,除非用戶使用VPN軟體保護其連接。我還發現,其中一個預訂系統,在連接被重定向到HTTPS之前,就在預訂過程中,將數據洩露給了伺服器。
遺憾的是,這種做法並非只出現在飯店行業。透過URL參數或在referrer字段中,意外洩露敏感資訊的現象,屢見不鮮。在過去的幾年裡,多家航空公司、度假區和其他網站,發生類似問題。2019年2月,其他研究人員也報告了類似的問題,其中未加密的鏈接,廣泛應用於多家航空公司服務提供商。
深層次問題
我還發現,多個網站允許暴力破解預訂號碼,以及枚舉攻擊。在許多情況下,預訂號碼只能簡單地逐個遞增。這意味著,如果駭客獲得客戶的電子郵件或姓氏,他們就可以猜出該客戶的預訂號並登錄。暴力破解預訂號碼,是旅遊行業一個的普遍問題,我之前也曾在部落格中提到。
這種攻擊手段,或許無法很好地大規模應用,但是當駭客具有特定目標,或已知目標位置時,的確可以奏效,例如會議飯店。而某些網站後台,甚至不需要客戶的電子郵件或姓名,僅利用有效的預訂號碼,即可獲取個人資訊。
編碼錯誤的例子數不勝數,這使駭客不僅可以訪問,大型連鎖飯店所有有效訂單,還可以查看國際航空公司,任何一張有效機票。
其中一個比較智慧的預訂系統,可以為顧客創建一個隨機的PIN碼,該碼需與預訂號同時使用。遺憾的是,登錄後並沒有與可訪問的實際訂單綁定。因此,駭客只使用有效的憑據即可登錄,並仍可訪問任何訂單。當時,對於後台是否有任何可以防止,此類攻擊的速率限制,我並沒有發現任何證據。
風險
近日發佈的《2018年諾頓LifeLock網路安全調查報告》(2018 Norton LifeLock Cybersecurity Insights Report)顯示,83%的消費者對他們的隱私感到擔憂,但大多數人(61%)表示如果能使生活更加便利,他們願意承擔某些風險。
透過在社交網路上分享照片,許多人定期洩露他們旅行的細節。有些人甚至光明正大地,直接分享門票預訂號碼。這些人也許對隱私漫不經心,實際上也可能希望他們的追隨者,知道自己的行蹤,但我相當肯定,如果他們到達飯店並發現,自己的預訂被取消時,他們一定會耿耿於懷。
駭客可能會因為取樂或報復取消某些預訂,或者是作為勒索計劃,以及惡性競爭的一部分,來達到損害飯店聲譽的目的。
飯店業的數據洩露,和由數據配置不當,引起的雲數據桶洩露,也是家常便飯。這些資訊可能隨後,便在黑市上出售或用於身份欺詐。收集的數據集越完整,其價值就越高。
透過這種方式,駭客還可以利用收集的數據,發送真假難辨的個性化垃圾郵件,或展開其他社交工程攻擊。就像那些聲稱用戶被駭客攻擊的郵件一樣,提供個人資訊會大大提高勒索郵件的可信度。
不僅如此,有針對性的駭客組織,也可能對商業專家和政府僱員的行程充滿興趣。眾所周知,諸如DarkHotel/Armyworm,OceanLotus/Destroyer,Swallowtail和Whitefly等一些APT團體,已經對飯店業產生影響。
這些團伙對這一領域感興趣的原因,包括監視目標、跟蹤行程、辨識隨行人員,或者瞭解某人在某一地點停留了多久,同時還允許他們實地訪問目標的位置。
解決方法
根據《通用數據保護條例》,歐盟的個人數據,必須得到更好的保護。然而,數據洩露的飯店對我調查結果的回應,令人失望。
我聯繫了這些飯店的DPO(Data privacy officer,數據隱私官),並告知他們我的調查結果。令人驚訝的是,25%的DPO在六周內沒有回覆。其中一封電子郵件被退回,因為隱私政策中的電子郵件地址已失效。
而給予回覆的DPO,則平均花了10天才做出回應,他們主要表示,確認收到了我的詢問,並承諾調查該問題,以及採取任何必要的行動。一些DPO認為,這些數據並非個人數據,正如隱私政策中所述,這些數據必須與廣告公司共享。
一些DPO則承認,他們仍在更新系統,以完全符合《通用數據保護條例》標準。其他使用外部服務,來支持預訂系統的飯店,開始擔心他們的服務提供商,是否符合該條例的標準,這顯示飯店可能沒有根據該標準的要求,對其預訂服務的合作夥伴進行適當的審查。
如何解套
預訂網站應當使用加密鏈接(HTTPS),並確保無憑據,以URL參數的形式洩露。用戶可以檢查鏈接是否已加密,或者個人數據(如電子郵件地址),是否作為URL中的可見數據進行傳遞。用戶還可以使用VPN服務,來最大限度地,減少他們在公共熱點上的曝光。
遺憾的是,對於普通的飯店顧客來說,察覺資訊洩漏並非易事,如果他們想要預訂特定的飯店,選擇的餘地非常有限。
儘管《通用數據保護條例》在歐洲已生效約一年,但這個問題存在的事實顯示,這一條例的實施,還沒有完全解決如何應對數據洩漏的問題。到目前為止,投訴、違反該條例,以及數據洩露的案件已超過20萬起,用戶的個人數據仍然四面楚歌。