3酒店网站存用户数据泄露风险,个人隐私

作者:葡京pj67777    发布时间:2020-05-08 10:08    浏览:116 次

[返回]

原标题:日本王子酒店等住宿设施的32万份个人信息遭泄露 包括信用卡号人民网东京6月27日电 据《读卖新闻》网站报道,运营酒店预订网站的法国公司FASTBOOKING 26日表示,由于该公司管理的服务器遭受攻击,大约32.6万份日本国内401家住宿设施的个人预订信息被泄露,其中189家设施的大约12万份信息中包括信用卡号和有效期。目前,尚未有信用卡被非法使用的情况出现。当天,王子酒店也表示,大约有12.5万份在FASTBOOKING上通过外语预订的客户个人信息被泄露,其中6.7万份信息中包括信用卡号。王子酒店社长小山正彦在东京召开记者会就此致歉。(编译:张丽娅 审稿:陈建军)

3酒店网站存用户数据泄露风险,个人隐私。去年,万豪旗下喜达屋酒店数据库遭非法入侵致多达5亿客人信息被窃,再加上此前频频发生的房客信息泄漏事件,酒店业个人信息安全受到广泛关注。

据路透社报道,网络安全公司赛门铁克周三发布的最新研究显示,三分之二的酒店网站在无意中将客人的预定信息和个人数据泄露给第三方网站,包括广告公司和分析公司。

葡京pj67777 1

这份研究调查了54个国家的1500多个酒店网站,这些酒店从二星级到五星级不等。在进行研究的数个月前,万豪国际集团刚披露了一次严重的数据泄露事件。

近日,全球网络安全公司赛门铁克发布了一个覆盖全球 54 个国家及地区的1500 多家酒店网站的研究报告,结果发现,有三分之二 的酒店网站都在无意间将顾客预订信息泄露给广告商和分析公司等第三方网站。

赛门铁克表示,万豪国际集团不在这次的研究范围之内。受影响的个人信息包括客人的完整姓名、电子邮件地址、信用卡详细信息以及护照号,这些信息或可被如今日渐盯上重要商务人士和政府雇员的网络犯罪份子利用。

酒店业为何会成为信息泄露的重灾区?这些个人信息又是从哪些渠道泄露的?该如何防范?今天,记者对赛门铁克大中华区首席运营官罗少辉进行了专访,就酒店业信息安全问题作了解答。

这一研究的主要研究人员坎迪德·韦斯特说:“虽然广告主跟踪用户浏览资管已不是什么秘密,但是在这种情况下,分享的信息,可以让第三方服务登录到预订服务,查看个人信息,甚至取消预订。”

2/3酒店网站存在信息泄露

研究显示,数据泄露往往发生在酒店网站发送包含直接预订信息链接的确认电子邮件之时。附加到链接中的参考代码可被30多个不同的服务供应商共享,包括社交媒体、搜索引擎、广告和分析服务等。

67777葡京网址,罗少辉介绍,此次测试中,赛门铁克公司的研究员们随机选择了一些旅游景点,并检索了位于这些地点的不同级别的热门酒店。从乡村二星级普通酒店到豪华五星级海边度假村等等,一些大型知名连锁酒店的旗下品牌也被纳入测试范畴,基本做到了全覆盖,能够反映出行业普遍问题。

韦斯特说,受影响的酒店网站中,有25%的数据隐私负责人未在收到通知后的6周内回复赛门铁克,而那些回复了的,也平均在10天后才回复。“有些承认,他们仍在更新他们的系统,以完全符合欧洲最新的数据保护标准,”他说。

报告显示,其中部分网站的预订系统在隐私保护方面表现良好,只简单显示了基础数据和停留日期,并未透露任何个人信息。但绝大多数网站都泄露了诸多个人数据,包括姓名、电子邮件地址、邮寄地址、手机号码、信用卡后四位数字、卡类型和有效日期、护照号等关键个人信息。1500 多家酒店网站中有67%的比例存在信息泄露问题。

葡京pj67777 2

酒店为何成为信息泄露重灾区?

为何酒店成为信息泄露的重灾区呢?对此,罗少辉指出,除了酒店防范能力先天不足外,酒店数据的“高价值”,使得酒店数据成为黑客眼中的“香饽饽”。

住过酒店的人都知道,酒店在录入个人信息时,除了姓名、手机号这样的数据,还会有身份证、护照等证件信息,甚至信用卡信息。可以说,这是一份相当详实的个人信息,可以利用的地方非常多。而且,酒店尤其是酒店集团,掌握的数据库非常庞大,一旦破解就能方便地获取相当大规模的个人数据,这些数据可以分门别类、明码标价在网上售卖,也可以整体打包出售。

据保守估计,去年犯罪分子通过在暗网兜售消费者个人及财务信息,牟取了数千万美元的不义之财。一张信用卡信息在地下销售论坛上最高可叫卖到45美元,而犯罪分子只要从每个植入代码的网站窃取10张信用卡信息并出售,每月收益便可高达220万美元。

葡京pj67777,信息从哪些渠道泄露?

那么,酒店信息从哪些渠道泄露出去的呢?罗少辉指出,信息共享使得酒店数据泄露存在着诸多渠道。

在赛门铁克公司研究员评测的酒店中,超过一半 的酒店会向顾客发送电子邮件确认预订信息,并在邮件中提供可以直接访问预订信息的链接。其本意是为了方便顾客,让顾客无需登录即可进入预订窗口。 然而,这些预定信息在通过电子邮件发送的同时,由于很多第三方会在同一网站上加载广告,会导致直接访问权会被共享给其他资源,或者被间接共享。赛门铁克的测试表明,每次预订平均会生成 176 个请求,虽然并非所有请求都包含详细的预订信息,但这一数字表明预订数据会被大范围共享。

葡京pj67777 3

研究测试发现,顾客如果使用电子邮件中收到的链接直接自动登录到预定窗口,在此过程中加载的页面可能会调用许多远程资源,而这些外部对象发出的Web请求会直接将完整URL作为参数发送。在此次测试中,酒店预定码被30多个不同的服务供应商共享,包括一些知名社交网络、搜索引擎以及广告和分析服务供应商。在这种情况下,第三方服务可以登录预订窗口,查看详细的个人信息,甚至取消顾客的预订。

此外,对于预订数据的泄露,还有其他潜在的原因。有些数据泄露发生在预订过程中,有些则发生在顾客手动登录网站时。一些网站为了安全起见会生成一个令牌,然后通过 URL 而非安全证书进行传送,但是这种做法也不值得提倡。 而且,在多数情况下即使顾客的酒店预订已经被取消,预订数据仍然可见,这便为攻击者窃取个人信息提供了绝佳的机会。

研究还发现,有超过四分之一 的酒店网站没有对电子邮件中的初始链接加密,这一点令人担忧。一旦顾客点击电子邮件中的 HTTP 链接,攻击者便会在这一进程中拦截顾客凭证,从而达到查看或修改其预订信息的目的。这一情形很可能发生在机场或酒店等使用公共热点的场所,除非用户主动使用 VPN 软件来保护链接。甚至有个别预订系统在其链接从HTTP重定向到 HTTPS 之前,就已经在预订过程中将数据泄露给了服务器。

如何解决?

无论是欧盟的GDPR还是我国的《网络安全法》,都对对个人数据的保护作出了强调。然而赛门铁克公司对存在这一问题的酒店业进行的调查结果显示实际情况并不乐观。

如何解决这一问题,罗少辉认为,酒店服务预订网站应统一使用加密链接 ,并确保任何凭证都不会以 URL 参数的形式泄露,即使适用隐私条例允许也不例外。例如使用 cookie。顾客可以检查链接是否已加密,或者个人数据是否作为 URL 中的可见数据进行传递,他们还可以使用 VPN 服务来最大限度地降低使用公共热点而带来的信息泄露风险。

来源|周到上海APP

编辑|吴繁

搜索