賽門鐵克的研究指出近七成的旅館網站都有洩漏個資的風險

各位可能沒有注意到，來自旅館的訂房確認郵件，其實可能會讓你身陷洩漏個資的風險。根據賽門鐵克針對 54 國、1,500 多家旅館的研究指出，大約有 67% 的旅館都在不知不覺中洩漏了客人的個資。包括座落於美國、加拿大，甚至一些有號稱「史上最嚴格個資法」GDRP 保護的歐洲旅館，也都難以倖免，而且從二星級到五星級的旅館都有類似的狀況發生。

根據賽門鐵克首席威脅研究員 Candid Wueest 的說法，這項問題主要是發生在訂房確認郵件的環節之上。這類郵件通常在資訊外會附上一個連結，引導顧客至另一個網站進行登入並確認訂房資訊。然而，這類訂房的認證碼和顧客的郵件地址，卻常常會直接出現在所附連結的字串中。當然，如果這封郵件只有你自己看的到，那倒還不算是大問題。

但事實上，如同許多其它類型的公司，不少旅館們也會將顧客的資訊分享給第三方合作夥伴。這也代表你的訂房代碼和郵件是可以被一些人查看的。而有了這些資訊，網路罪犯就能進一步找到你的地址、全名、手機號碼、護照號碼，甚至其它更敏感的個資。賽門鐵克還發現，少數旅館郵件中附上的連結並沒有經過加密，這也給網路罪犯提供了另一個攻擊機會。

賽門鐵克發言人表示，該公司聯繫了有安全漏洞的旅館業者後，大多數（但不是全部）都已著手採取措施以改善現況。雖然不方便透露確切的旅館名稱，但賽門鐵克表示他們透過 45 個不同的網站，對超過 1,500 家旅館，包含知名的高級旅館和大型的連鎖品牌都進行了調查。

那身為顧客的我們該如何自保呢？賽門鐵克建議，當使用公眾 Wi-Fi 時，可以先使用 VPN 服務，再更改訂房資訊。此外，你也可以檢查所收到的連結，是否有洩漏個人資料。如果長得像是這樣：「https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld」，那就可能有問題囉。

最後，Wueest 在發給主站的郵件中寫道，他對五個旅遊搜尋引擎也進行了調查，同樣發現了類似的安全漏洞。他認為，這顯示該類問題是普遍存在於旅遊產業之中，而非限於某地區的個案。

來源: Symantec

經由: Engadget