酒店網(wǎng)站是否會泄漏客人預(yù)訂詳情并允許訪問個(gè)人數(shù)據(jù)？

賽門鐵克首席安全研究人員Candid Wueest近日發(fā)文稱，酒店網(wǎng)站可能會泄露客人的預(yù)訂詳情，允許其他人查看客人的個(gè)人數(shù)據(jù)，甚至取消他們的預(yù)訂。在最近研究酒店網(wǎng)站上可能發(fā)生的劫持攻擊時(shí)，Wueest偶然發(fā)現(xiàn)了一個(gè)可能泄漏客人個(gè)人數(shù)據(jù)的問題。

Wueest測試了多個(gè)網(wǎng)站 - 包括54個(gè)國家/地區(qū)的1500多家酒店 - 以確定這個(gè)隱私問題的常見程度。我發(fā)現(xiàn)這些網(wǎng)站中有三分之二（67％）無意中將預(yù)訂參考代碼泄露給第三方網(wǎng)站，如廣告客戶和分析公司。他們都有隱私政策，但他們都沒有明確提到這種行為。

雖然廣告商跟蹤用戶的瀏覽習(xí)慣已經(jīng)不是什么秘密，但在這種情況下，共享的信息可以允許這些第三方服務(wù)登錄預(yù)訂，查看個(gè)人詳細(xì)信息，甚至完全取消預(yù)訂。自從《通用數(shù)據(jù)保護(hù)條例》（GDPR）在歐洲生效以來已近一年了，但受此問題影響的許多酒店的遵守法規(guī)的速度非常緩慢。

Wueest測試過的網(wǎng)站從鄉(xiāng)村的二星級酒店到海灘上的豪華五星級度假村酒店網(wǎng)站。一些預(yù)訂系統(tǒng)值得稱贊，因?yàn)樗鼈冎伙@示了數(shù)值和停留日期，并沒有透露任何個(gè)人信息。但大多數(shù)網(wǎng)站泄露了個(gè)人數(shù)據(jù)，例如：

全名

電子郵件地址

郵寄地址

手機(jī)號碼

信用卡、卡類型和到期日的最后四位數(shù)字

護(hù)照號

是什么導(dǎo)致這些泄漏？

Wueest測試的網(wǎng)站中有超過一半（57％）向客戶發(fā)送確認(rèn)電子郵件，并提供直接訪問其預(yù)訂的鏈接。這是為了方便客戶而提供的，只需點(diǎn)擊鏈接即可直接進(jìn)入預(yù)訂，無需登錄。

由于電子郵件需要靜態(tài)鏈接，因此HTTP POST Web請求實(shí)際上不是一個(gè)選項(xiàng)，這意味著預(yù)訂參考代碼和電子郵件將作為URL本身的參數(shù)傳遞。就其本身而言，這不是問題。但是，許多網(wǎng)站直接在同一網(wǎng)站上加載其他內(nèi)容，例如廣告。這意味著直接訪問可以直接與其他資源共享，也可以通過HTTP請求中的referrer字段間接共享。Wueest的測試表明，每次預(yù)訂平均生成176個(gè)請求，但并非所有這些請求都包含預(yù)訂詳細(xì)信息。該數(shù)字表示可以非常廣泛地共享預(yù)訂數(shù)據(jù)。

為了演示，Wueest假設(shè)確認(rèn)電子郵件包含以下格式的鏈接，該鏈接會自動讓W(xué)ueest登錄到他的預(yù)訂概述中：

HTTPS：//booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld

加載的頁面（在此示例中為retrieve.php網(wǎng)站）可以調(diào)用許多遠(yuǎn)程資源。為這些外部對象發(fā)出的一些Web請求將直接將完整URL（包括憑據(jù)）作為URL參數(shù)發(fā)送。

以下是分析請求的示例，其中包含完整的原始URL，包括作為參數(shù)的參數(shù)：

%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail% 3Djohn％5Fsmith％40myMail.tld＆dt

=你的％20booking＆sr = 1920x1080＆vp = 1061x969＆je = 0＆_u = SCEBgAAL~＆jid = 1804692919＆gjid =

1117313061＆cid = 1111866200.1552848010＆tid = UA-000000-2＆_gid = 697872061.1552848010＆gtm = 2wg3b2MMKSS89＆z = 337564139

如上所述，相同的數(shù)據(jù)也在referrer字段中，在大多數(shù)情況下將由瀏覽器發(fā)送。這導(dǎo)致參考代碼與30多個(gè)不同的服務(wù)提供商共享，包括眾所周知的社交網(wǎng)絡(luò)，搜索引擎以及廣告和分析服務(wù)。此信息可能允許這些第三方服務(wù)登錄預(yù)訂，查看個(gè)人詳細(xì)信息，甚至完全取消預(yù)訂。

還有其他情況，預(yù)訂數(shù)據(jù)也可能被泄露。有些網(wǎng)站會在預(yù)訂過程中傳遞信息，而其他網(wǎng)站會在客戶手動登錄網(wǎng)站時(shí)泄露信息。其他人生成一個(gè)訪問令牌，然后在URL而不是憑據(jù)中傳遞，這也不是好習(xí)慣。

在大多數(shù)情況下，Wueest發(fā)現(xiàn)即使預(yù)訂被取消，預(yù)訂數(shù)據(jù)仍然可見，從而為攻擊者提供了竊取個(gè)人信息的機(jī)會。

酒店比較網(wǎng)站和預(yù) 訂引擎似乎更安全。從Wueest測試的五個(gè)服務(wù)中，兩個(gè)泄露了憑據(jù)，一個(gè)發(fā)送了登錄鏈接而沒有加密。應(yīng)該注意的是，Wueest發(fā)現(xiàn)了一些配置良好的網(wǎng)站，它們首先需要Digest認(rèn)證，然后在設(shè)置cookie后重定向，確保數(shù)據(jù)不會泄露。

未加密的鏈接

可以認(rèn)為，由于數(shù)據(jù)僅與網(wǎng)站信任的第三方提供商共享，因此該問題的隱私風(fēng)險(xiǎn)較低。然而，令人遺憾的是，Wueest發(fā)現(xiàn)超過四分之一（29％）的酒店網(wǎng)站沒有加密包含該ID的電子郵件中發(fā)送的初始鏈接。因此，潛在的攻擊者可以攔截點(diǎn)擊電子郵件中的HTTP鏈接的客戶的憑證，例如，查看或修改他或她的預(yù)訂。這可能發(fā)生在公共熱點(diǎn)，如機(jī)場或酒店，除非用戶使用VPN軟件保護(hù)連接。Wueest還觀察到一個(gè)預(yù)訂系統(tǒng)在連接被重定向到HTTPS之前，在預(yù)訂過程中將數(shù)據(jù)泄露給服務(wù)器。

不幸的是，這種做法并不是酒店業(yè)獨(dú)有的。通過URL參數(shù)或在referrer字段中無意中共享敏感信息在網(wǎng)站中很普遍。在過去的幾年里，Wueest看到過多家航空公司、度假景點(diǎn)和其他網(wǎng)站的類似問題。其他研究人員在2019年2月報(bào)告了類似的問題，其中未加密的鏈接被用于多個(gè)航空公司服務(wù)提供商。

更多問題

Wueest還發(fā)現(xiàn)，多個(gè)網(wǎng)站允許強(qiáng)制執(zhí)行預(yù)訂參考以及枚舉攻擊。在許多情況下，預(yù)訂參考代碼只是從一個(gè)預(yù)訂增加到下一個(gè)預(yù)訂。這意味著，如果攻擊者知道客戶的電子郵件或姓氏，他們就可以猜出該客戶的預(yù)訂參考號并登錄。強(qiáng)行預(yù)訂號碼是旅游行業(yè)的一個(gè)普遍問題，Wueest之前曾在博客中發(fā)表過這樣的信息。

這樣的攻擊可能無法很好地?cái)U(kuò)展，但是當(dāng)攻擊者考慮到特定目標(biāo)或目標(biāo)位置已知時(shí)，它確實(shí)可以正常工作，例如會議酒店。對于某些網(wǎng)站，后端甚至不需要客戶的電子郵件或姓名 - 所需要的只是有效的預(yù)訂參考代碼。Wueest發(fā)現(xiàn)了這些編碼錯誤的多個(gè)例子，這使Wueest不僅可以訪問大型連鎖酒店的所有有效預(yù)訂，還可以查看國際航空公司的每張有效機(jī)票。

一個(gè)預(yù)訂引擎非常智能，可以為訪客創(chuàng)建一個(gè)隨機(jī)的PIN碼，以便與預(yù)訂參考號一起使用。不幸的是，登錄沒有綁定到訪問的實(shí)際預(yù)訂。因此，攻擊者只需使用自己的有效憑據(jù)登錄并仍可訪問任何預(yù)訂。Wueest沒有看到任何證據(jù)表明后端有任何速率限制可以減緩此類攻擊。

有什么風(fēng)險(xiǎn)？

許多人通過在社交媒體網(wǎng)絡(luò)上發(fā)布照片來定期分享他們的旅行細(xì)節(jié)。這些人可能不太關(guān)心他們的隱私，實(shí)際上可能希望他們的關(guān)注者知道他們的行蹤，但Wuees相當(dāng)肯定如果他們到達(dá)他們的酒店并發(fā)現(xiàn)他們的預(yù)訂已被取消后，他們會更加注意。攻擊者可能會因?yàn)閵蕵坊騻€(gè)人報(bào)復(fù)而決定取消預(yù)訂，但也可能損害酒店的聲譽(yù)，作為勒索計(jì)劃的一部分或作為競爭對手的破壞行為。

酒店業(yè)也存在相當(dāng)多的數(shù)據(jù)泄露，以及數(shù)據(jù)配置不當(dāng)?shù)脑茢?shù)據(jù)的數(shù)據(jù)泄露。然后，這些信息可以在暗網(wǎng)上出售或用于進(jìn)行身份欺詐。收集的數(shù)據(jù)集越完整，它就越有價(jià)值。

詐騙者還可以使用以這種方式收集的數(shù)據(jù)來發(fā)送令人信服的個(gè)性化垃圾郵件或執(zhí)行其他社交工程攻擊。提供個(gè)人信息可以提高勒索郵件的可信度，就像那些聲稱你被黑客攻擊的郵件一樣。

此外，有針對性的攻擊團(tuán)體也可能對商業(yè)專業(yè)人士和政府雇員的行程感興趣。例如DarkHotel/Armyworm, OceanLotus/Destroyer, Swallowtail及Whitefly等APT團(tuán)伙。這些群體對這一領(lǐng)域感興趣的原因有很多，包括一般監(jiān)視目的，跟蹤目標(biāo)的動作、識別隨行人員，或者找出某人在特定地點(diǎn)停留多久。它還可以允許物理訪問目標(biāo)的位置。

解決問題

根據(jù)GDPR，歐盟個(gè)人的個(gè)人數(shù)據(jù)? ?須根據(jù)這些問題得到更好的保護(hù)。然而，受影響酒店對Wueest的調(diào)查結(jié)果的回應(yīng)令人失望。

Wueest聯(lián)系了受影響酒店的數(shù)據(jù)隱私官（DPO）并告知他們相關(guān)調(diào)查結(jié)果。令人驚訝的是，25％的DPO在六周內(nèi)沒有回復(fù)。一封電子郵件被退回，因?yàn)殡[私政策中的電子郵件地址不再有效。在做出回應(yīng)的人中，他們平均花了10天回應(yīng)。做出回應(yīng)的人主要確認(rèn)收到他的詢問，并承諾調(diào)查該問題并實(shí)施任何必要的變更。一些人認(rèn)為，根本不是個(gè)人數(shù)據(jù)，而且必須與隱私政策中所述的廣告公司共享數(shù)據(jù)。一些人承認(rèn)他們?nèi)栽诟滤麄兊南到y(tǒng)以完全符合GDPR標(biāo)準(zhǔn)。其他使用外部服務(wù)進(jìn)行預(yù)訂系統(tǒng)的酒店開始擔(dān)心服務(wù)提供商畢竟不符合GDPR標(biāo)準(zhǔn)。

預(yù)訂站點(diǎn)應(yīng)使用加密鏈接并確保沒有憑據(jù)作為URL參數(shù)泄露?？蛻艨梢詸z查鏈接是否已加密，或者個(gè)人數(shù)據(jù)（如電子郵件地址）是否作為URL中的可見數(shù)據(jù)傳遞。他們還可以使用VPN服務(wù)來最大限度地減少他們在公共熱點(diǎn)上的曝光率。不幸的是，對于普通的酒店客人來說，發(fā)現(xiàn)這樣的泄漏可能不是一件容易的事，如果他們想要預(yù)訂特定的酒店，他們可能沒有多少選擇。

盡管GDPR大約一年前在歐洲生效，但這個(gè)問題存在的事實(shí)表明，GDPR的實(shí)施還沒有完全解決組織如何應(yīng)對數(shù)據(jù)泄漏問題。到目前為止，已經(jīng)報(bào)告了超過20萬起GDPR投訴和數(shù)據(jù)泄露案件，用戶的個(gè)人數(shù)據(jù)仍然存在風(fēng)險(xiǎn)。

Hash:e998ef54dbfa2f7bcfde578e1fd2a720d3df6944