賽門鐵克的研究指出近七成的旅館網站都有洩漏個資的風險

該研究的調查對象包含了 54 個國家中的 1,500 多家旅館。

Lanmo Chang
Lanmo Chang
2019年04月11日, 晚上 08:00
0分享次數
FacebookTwitter
各位可能沒有注意到,來自旅館的訂房確認郵件,其實可能會讓你身陷洩漏個資的風險。根據賽門鐵克針對 54 國、1,500 多家旅館的研究指出,大約有 67% 的旅館都在不知不覺中洩漏了客人的個資。包括座落於美國、加拿大,甚至一些有號稱「史上最嚴格個資法」GDRP 保護的歐洲旅館,也都難以倖免,而且從二星級到五星級的旅館都有類似的狀況發生。

根據賽門鐵克首席威脅研究員 Candid Wueest 的說法,這項問題主要是發生在訂房確認郵件的環節之上。這類郵件通常在資訊外會附上一個連結,引導顧客至另一個網站進行登入並確認訂房資訊。然而,這類訂房的認證碼和顧客的郵件地址,卻常常會直接出現在所附連結的字串中。當然,如果這封郵件只有你自己看的到,那倒還不算是大問題。

但事實上,如同許多其它類型的公司,不少旅館們也會將顧客的資訊分享給第三方合作夥伴。這也代表你的訂房代碼和郵件是可以被一些人查看的。而有了這些資訊,網路罪犯就能進一步找到你的地址、全名、手機號碼、護照號碼,甚至其它更敏感的個資。賽門鐵克還發現,少數旅館郵件中附上的連結並沒有經過加密,這也給網路罪犯提供了另一個攻擊機會。

賽門鐵克發言人表示,該公司聯繫了有安全漏洞的旅館業者後,大多數(但不是全部)都已著手採取措施以改善現況。雖然不方便透露確切的旅館名稱,但賽門鐵克表示他們透過 45 個不同的網站,對超過 1,500 家旅館,包含知名的高級旅館和大型的連鎖品牌都進行了調查。

那身為顧客的我們該如何自保呢?賽門鐵克建議,當使用公眾 Wi-Fi 時,可以先使用 VPN 服務,再更改訂房資訊。此外,你也可以檢查所收到的連結,是否有洩漏個人資料。如果長得像是這樣:「https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld」,那就可能有問題囉。

最後,Wueest 在發給主站的郵件中寫道,他對五個旅遊搜尋引擎也進行了調查,同樣發現了類似的安全漏洞。他認為,這顯示該類問題是普遍存在於旅遊產業之中,而非限於某地區的個案。
標籤: data leak, entertainment, GDPR, hotel, hotel booking, internet, online travel, security, travel
0分享次數
FacebookTwitter