2/3酒店网站存用户数据泄露风险，一张信用卡信息可卖45美元

来源：新闻晨报  日期：2019/5/25 12:05:11   浏览次数：    我要收藏

去年，万豪旗下喜达屋酒店数据库遭非法入侵致多达5亿客人信息被窃，再加上此前频频发生的房客信息泄漏事件，酒店业个人信息安全受到广泛关注。

近日，全球网络安全公司赛门铁克发布了一个覆盖全球 54 个国家及地区的1500 多家酒店网站的研究报告，结果发现，有三分之二 (67％) 的酒店网站都在无意间将顾客预订信息泄露给广告商和分析公司等第三方网站。

酒店业为何会成为信息泄露的重灾区？这些个人信息又是从哪些渠道泄露的？该如何防范？今天，记者对赛门铁克大中华区首席运营官罗少辉进行了专访，就酒店业信息安全问题作了解答。

2/3酒店网站存在信息泄露

罗少辉介绍，此次测试中，赛门铁克公司的研究员们随机选择了一些旅游景点，并检索了位于这些地点的不同级别的热门酒店。从乡村二星级普通酒店到豪华五星级海边度假村等等，一些大型知名连锁酒店的旗下品牌也被纳入测试范畴，基本做到了全覆盖，能够反映出行业普遍问题。

报告显示，其中部分网站的预订系统在隐私保护方面表现良好，只简单显示了基础数据和停留日期，并未透露任何个人信息。但绝大多数网站都泄露了诸多个人数据，包括姓名、电子邮件地址、邮寄地址、手机号码、信用卡后四位数字、卡类型和有效日期、护照号等关键个人信息。1500 多家酒店网站中有67%的比例存在信息泄露问题。

酒店为何成为信息泄露重灾区？

为何酒店成为信息泄露的重灾区呢？对此，罗少辉指出，除了酒店防范能力先天不足外，酒店数据的“高价值”，使得酒店数据成为黑客眼中的“香饽饽”。

住过酒店的人都知道，酒店在录入个人信息时，除了姓名、手机号这样的数据，还会有身份证、护照等证件信息，甚至信用卡信息。可以说，这是一份相当详实的个人信息，可以利用的地方非常多。而且，酒店尤其是酒店集团，掌握的数据库非常庞大，一旦破解就能方便地获取相当大规模的个人数据，这些数据可以分门别类、明码标价在网上售卖，也可以整体打包出售。

据保守估计，去年犯罪分子通过在暗网兜售消费者个人及财务信息，牟取了数千万美元的不义之财。一张信用卡信息在地下销售论坛上最高可叫卖到45美元，而犯罪分子只要从每个植入代码的网站窃取10张信用卡信息并出售，每月收益便可高达220万美元。

信息从哪些渠道泄露？

那么，酒店信息从哪些渠道泄露出去的呢？罗少辉指出，信息共享使得酒店数据泄露存在着诸多渠道。

在赛门铁克公司研究员评测的酒店中，超过一半 (57％) 的酒店会向顾客发送电子邮件确认预订信息，并在邮件中提供可以直接访问预订信息的链接。其本意是为了方便顾客，让顾客无需登录即可进入预订窗口。 然而，这些预定信息在通过电子邮件发送的同时，由于很多第三方会在同一网站上加载广告，会导致直接访问权会被共享给其他资源，或者被间接共享。赛门铁克的测试表明，每次预订平均会生成 176 个请求，虽然并非所有请求都包含详细的预订信息，但这一数字表明预订数据会被大范围共享。

研究测试发现，顾客如果使用电子邮件中收到的链接直接自动登录到预定窗口，在此过程中加载的页面可能会调用许多远程资源，而这些外部对象发出的Web请求会直接将完整URL作为参数发送。在此次测试中，酒店预定码被30多个不同的服务供应商共享，包括一些知名社交网络、搜索引擎以及广告和分析服务供应商。在这种情况下，第三方服务可以登录预订窗口，查看详细的个人信息，甚至取消顾客的预订。

此外，对于预订数据的泄露，还有其他潜在的原因。有些数据泄露发生在预订过程中，有些则发生在顾客手动登录网站时。一些网站为了安全起见会生成一个令牌，然后通过 URL 而非安全证书进行传送，但是这种做法也不值得提倡。 而且，在多数情况下即使顾客的酒店预订已经被取消，预订数据仍然可见，这便为攻击者窃取个人信息提供了绝佳的机会。

研究还发现，有超过四分之一 (29％) 的酒店网站没有对电子邮件（包含 ID）中的初始链接加密，这一点令人担忧。一旦顾客点击电子邮件中的 HTTP 链接，攻击者便会在这一进程中拦截顾客凭证，从而达到查看或修改其预订信息的目的。这一情形很可能发生在机场或酒店等使用公共热点的场所，除非用户主动使用 VPN 软件来保护链接。甚至有个别预订系统在其链接从HTTP重定向到 HTTPS 之前，就已经在预订过程中将数据泄露给了服务器。

如何解决？

无论是欧盟的GDPR还是我国的《网络安全法》，都对对个人数据的保护作出了强调。然而赛门铁克公司对存在这一问题的酒店业进行的调查结果显示实际情况并不乐观。

如何解决这一问题，罗少辉认为，酒店服务预订网站应统一使用加密链接 (HTTPS)，并确保任何凭证都不会以 URL 参数的形式泄露，即使适用隐私条例允许也不例外。例如使用 cookie。顾客可以检查链接是否已加密，或者个人数据（如电子邮件地址）是否作为 URL 中的可见数据进行传递，他们还可以使用 VPN 服务来最大限度地降低使用公共热点而带来的信息泄露风险。

来源｜周到上海APP

编辑｜吴繁