Foto: Mario Tama (Getty)
Zwei Drittel der hotel-websites Leck Gäste Informationen zur Buchung, nach einer neuen Sicherheits-Bericht.
Letzten November, Marriott International, offenbart er erlebt hatte, einer der größten Brüche in der Geschichte, Verfügbarmachen von Daten von 500 Millionen Gast-Aufzeichnungen. Aber eine Studie aus der cybersecurity-Firma Symantec veröffentlichte am Donnerstag zeigt, dass es nicht nur Marriott Gäste, die besorgt sein müssen, Ihre Daten zu.
Symantec threat researcher Candid Wueest analysiert 1,500 hotel websites in 54 Ländern, die zwei-Sterne-fünf-Sterne bewerteten hotels. Er entdeckt, dass zwei von drei hotel-Webseiten versehentlich Leck persönlichen information und Buchung Daten Dritter Personen, einschließlich Analysen und ad-Unternehmen.
Das Hauptproblem der Forscher entdeckte, war Sie die hotels in der’ Praxis einschließlich eines direkten Zugangs-link in der Bestätigungs-E-Mails an Gäste. In 57 Prozent der hotel-Websites, die Forscher getestet, ein link in der Mail führt direkt zu der Reservierung ohne Authentifizierung. Daher, jeder, der über den URL-link, der Zugriff auf die Kundeninformationen.
Da diese websites haben Inhalte von Inserenten und analytics-tools, die diese fremden Personen könnten Zugriff auf die URL zeigt, dass Kunden-Informationen.
“Es ist zwar kein Geheimnis, dass die Werbetreibenden verfolgen Benutzer-browsing-Gewohnheiten, in diesem Fall, die Informationen weitergegeben werden könnten, können diese Dienste von Drittanbietern anmelden einer Reservierung, anzeigen, persönliche Daten und sogar die Buchung zu stornieren insgesamt” Wueest schreibt in dem Bericht.
Die Forscher fanden auch, dass einige hotel-Websites anfällig für brute-force-Angriffe, bei denen die hacker versucht, mehrere Kombinationen von einer Buchungsnummer, die in der Regel durch eine Maschine, die macht es automatisch. Für einige websites, die er noch nicht einmal einen Namen oder eine E-Mail, nur einen Referenz-code. “Ich fand mehrere Beispiele für diese Codierung Fehler, die würde mir erlaubt haben nicht nur Zugriff auf alle aktiven Reservierungen für einen großen hotel-Kette, aber auch die Aussicht auf jedes Flugticket für eine internationale Fluggesellschaft,” Wueest schrieb.
Er schlug vor, eine solche brute-force-Attacken nützlich sein könnte, um einen hacker, der will, um das Ziel Menschen in einem bestimmten hotel Konferenz.
Wueest, sagte in dem Bericht, den er alarmiert jedem hotel das Problem, und 25 Prozent der hotel-data privacy officers reagierte nicht. Im Durchschnitt werden die Offiziere, die nicht reagiert haben 10 Tage gedauert, dies zu tun. Einige Hotels, die Vertreter scheinbar schob Sie zurück und sagte, dass die Daten in Frage, der freigegeben werden soll, mit ad-Unternehmen, wie erwähnt, in deren Datenschutzerklärung.
[Symantec via Reuters]
Teilen Sie Diese Geschichte