女:今晚天气舒适,适宜约会。
男:把会去掉。
女:时间我定,地点你定。
男:XX情趣酒店,主题老样子。
只不过,当代男女为爱鼓掌太难了。既要担心酒店各处“埋伏”着针孔摄像头(请自行在雷锋网《晾衣机都能出卖你的肉体,我们派AI观摩了3天黄网》一文中解锁更多偷拍角度,只有你想不到,没有变态做不到),又害怕被偷拍后成为小视频主角出现在隐蔽网页被围观,甚至现在连开个房都要担心数据泄露了。
床还没上,别人已经知道你要上了。
到底怎么回事?
据路透社报道,网络安全公司赛门铁克(Symantec)周三发布的最新研究显示,三分之二的酒店网站无意中将客人的预定信息和个人数据泄露给第三方网站,比如广告公司和分析公司。这些数据包括客人的全名、电子邮件地址、邮寄地址、手机号码、信用卡、卡类型和到期日的最后四位数字、护照号等。
没想到吧,开个房隐私数据就变成大礼包进了黑产团伙的口袋。
这些数据究竟是如何泄露的?
赛门铁克的安全研究员 Candid Wueest 表示,他偶然间发现在预订酒店完成后,酒店网站会向客人发送一封确认电子邮件。这个电子邮件包含一个链接,允许访客直接访问他们的预订详细信息,而无需登录。
由于电子邮件使用静态链接,因此预订参考代码和访客的电子邮件包含在URL本身中。更巧的是许多酒店在同一预订概述页面上加载了诸如广告的其他内容。
Wueest 提到,一些酒店实际上与多达30个不同的第三方共享预订参考代码,包括社交网络、搜索引擎、分析和广告服务。测试显示这样的第三方每次预订平均产生176个请求。
“这些第三方的'请求'可能是加载图像,javascript 或 iframe 等资源。虽然并非所有这些请求都包含预订详细信息,但它们确实提供了酒店直接和间接共享访客数据的广泛程度。”
许多情况下,即使客户取消预订,仍可以在酒店网站上获得预订信息,并通过电子邮件链接访问。
Wueest 测试了54个地区1500多家酒店,其中既包括地方二星级酒店也包括豪华五星级度假村酒店,发现有三分之二(67%)的酒店网站都存在这种数据泄露问题。
虽然广告商跟踪用户的浏览习惯已经不是什么秘密,但在这种情况下,共享的信息可以允许这些第三方服务登录预订查看个人详细信息,甚至完全取消预订让人瑟瑟发抖。
除此之外,Wueest 还发现超过四分之一(29%)的酒店网站没有加密包含该ID的电子邮件中发送的初始链接。意味着黑客可以拦截点击电子邮件中的HTTP链接的客户的凭证,查看或修改他/她的预订。一个预订系统在连接被重定向到HTTPS之前,还会在预订过程中将数据泄露给服务器。
但也有些安全意识较强的酒店,比如只在预订信息中显示了数值和停留日期没有透露个人信息,或者采取了身份认证等安全措施,确保数据不会泄露。
当然,这样的酒店占比并不算多。
背后黑手
你的预订信息究竟被什么人惦记?
可能是出于报复心态的前男/女友,恶意取消了你的预订酒店,或者狂热的追求者通过一系列操作找到你的酒店住处,也可能是酒店竞争对手恶意取消客人订单,降低酒店评分,而被取消订单的你只是倒霉蛋,以下省略N种脑洞……
而你被泄露的数据可能被卖给需求方,,比如房地产、汽车和金融公司。收集的数据集越完整,它就越有价值。
黑客们也可能利用获取的信息尝试登录其他网站,也就是常说的“撞库”。大部分用户并不会为不同的网站设置单独的密码,因此登录成功的可能性很大。犯罪分子通常利用一些自动化工具和海量的肉鸡资源展开登录活动,成功登录之后进而获取更有价值的数据或者窃取账号中的虚拟资产,如积分或余额等。
APT团伙们对这些酒店数据也很感兴趣,特别是针对一些专业的商务人士或政府雇员(是不是已经脑补出一系列谍战大片)的监视、跟踪,此时详细的预订信息就是神助攻了。
酒店行业数据泄露已经不新鲜了,
2017年10月全球11个国家的41家凯悦酒店支付系统被黑客入侵,大量数据外泄,包括住客支付卡姓名、卡号、到期日期和验证码。国内共有18家凯悦酒店受到影响,是此次事件中受影响最大、数量最多的国家;
2018年8月28日早上6点,暗网上出现了华住旗下多个连锁酒店开房信息数据的交易行为,数据标价8个比特币,约等于人民币37.6万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录。数据包含的酒店列表清单如下:汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等;
2018年11月30日,万豪酒店集团披露喜达屋数据泄露细节,被泄露数据包含在2018年9月10日或之前在喜达屋酒店预订的5亿名客人信息,约有3.27亿人的姓名、邮件、电话、地址、护照号码、SPG俱乐部账户信息、出生日期、性别、开房信息等被泄露。此外还有部分客人的信用卡支付信息被窃取,虽然这些信息已经通过高级加密标准(AES-128)加密,解密支付卡号码需要解锁两项密钥,但无法排除黑客是否已经掌握这两项密钥。
复杂的内部IT系统和多变的外部威胁形势是酒店企业面临的最大安全威胁,而对预订信息不采用安全措施俨然是为攻击者敞开的窗口。
但受影响酒店对这扇“天窗”不怎么care。
Wueest 联系了受影响酒店的数据隐私官(DPO)告知他们相关调查结果。25%的DPO在六周内没有回复,其余酒店平均在10天左右作出了回应,表示已经开始采取措施保护用户预订数据。Wueest 建议预订站点使用加密链接确保没有凭据作为URL参数泄露。
后记
仅仅只有酒店行业存在这种问题吗?并不,Wueest 曾在电子邮件中对外媒 Engadget 表示,他还测试了五个旅游搜索网站,并发现了类似的安全漏洞。 在过去的几年里,多家航空公司、度假景点和其他网站也有类似问题被安全研究员指出,通过URL参数或在referrer字段中无意分享敏感信息似乎在这些网站中很普遍。
恐怕这已经成为旅游业普遍的安全问题。
面临隐私泄露风险的用户可长点心,预订酒店后尽量打开确认链接的网址,看看自己的预订详情是否被公开了。除此之外,最好不要使用公关WiFi进行一系列操作。
最后,具有安全漏洞的URL如下所示:https://booking.the-hotel.tld/retrieve.php?prn = 1234567&mail = john_smith@myMail.tld
你是否担忧自己的预订信息被泄露?欢迎到雷锋网宅客频道(微信公众号:letshome)投票。
雷锋网参考来源:darkreading、engadget