网络安全公司Symantec近日发表研究报告,发现有67%酒店网站会无意中将客户的订房代码分享给第三方广告商或分析工具公司。研究测试共向54个国家/地区的1,500多家酒店网站进行。虽然每个酒店网站都有列明私隐政策,但他们都没有明确提及这种行为。
广告商追踪用户的浏览习惯已经不是什么秘密,但在今次事件上,无意中分享的资料却包含了可以让这些第三方广告商登录预订服务,查看用户个人资料,甚至取消预订。取得订房代码的第三方,将可以存取各种旅客的资讯,例如旅客全名、电邮地址、居住地址、手机号码、信用卡后四个号码、信用卡种类、信用卡到期日、护照号码等重要资讯。
网站测试的范围从二星到五星酒店,有些酒店隶属于全球级连锁酒店旗下。其中超过57%的酒店在订房后会将附有酒店网站连结的电邮回复客户,目的是为了方便客户直接登入预订系统,但连接网址中就包含有订房编号和个人电邮等的资讯(如下图字串)。当旅客点击连结开启网页时,会同时将完整的URL (包括凭证) 发出连线要求去开启各种第三方内容,例如社群分享工具、搜索引擎、广告或分析服务等等,这些第三方服务商往往可以藉此取得传输的资讯内容。
虽然数据只会与酒店信任的第三方服务商共享,相对的隐私风险会较低。然而,如果电邮内的连接没有加密(http),用户的个人数据仍然存在风险。攻击者可以拦截网络流量,收集电邮中连结内的客户凭证。客户应检查网站连结是否加密或URL的字串中是否可以直接读取个人资料,如电邮地址。此外,我们亦应避免使用公共网络访问这种连结。
