Symantec ha rilevato che il 67% dei siti web degli hotel fornisce informazioni riservate a servizi di terze parti
I ricercatori di Symantec hanno esaminato più siti web di strutture alberghiere, compresi oltre 1.500 hotel in 54 paesi, per determinare quanto sia diffuso il problema della privacy. Nel post pubblicato dal Ricercatore di sicurezza Candid Wueest, emerge una profonda spaccatura in termini di privacy e sicurezza: “il 67% dei siti esaminati stanno inavvertitamente perdendo i codici di riferimento delle prenotazioni su siti di terze parti come gli inserzionisti e le società di analisi”. La maggior parte dei sistemi di prenotazione ha divulgato dati personali come:
- Nome e cognome
- Indirizzo email
- Residenza
- Numero di cellulare
- Ultime quattro cifre di carta di credito, tipo di carta e data di scadenza
- Numero di passaporto
La causa principale del leak è dovuta all’abitudine di inviare un’email di conferma ai clienti attraverso un link che permette di accedere direttamente alla prenotazione effettuata. Poiché molti siti caricano direttamente contenuti aggiuntivi sullo stesso sito Web, l’accesso diretto è condiviso direttamente con altre risorse o indirettamente attraverso il campo referrer nella richiesta HTTP. Secondo il ricercatore, mediamente ogni prenotazione online “condivide” i suoi dati con almeno 30 service provider, compresi social network, aziende pubblicitarie e società di marketing.
Accedendo al link, però, tutti questi soggetti potrebbero non limitarsi a registrare le informazioni, ma anche accedere alla prenotazione per modificarla o cancellarla. Ulteriori problemi riguardano i siti che offrono servizi di aggregazione delle offerte alberghiere. Dei cinque analizzati dal ricercatore, due trasmettono le credenziali e uno invia i link senza alcuna protezione crittografica.
Secondo la ricerca, ai fini della sicurezza, “i siti di prenotazione dovrebbero utilizzare collegamenti crittografati (HTTPS) e assicurarsi che non vi siano perdite di credenziali come argomenti URL”.
Fonte: https://www.symantec.com/blogs/threat-intelligence/hotel-websites-leak-guest-data