在行業(yè)內，廣告商追蹤用戶瀏覽痕跡、了解用戶的瀏覽習慣已不是秘密。但信息大范圍共享會使得第三方能夠登錄顧客預訂窗口，查看他們詳細的個人信息，甚至故意取消其預訂。《通用數據保護條例》(GDPR) 已經在歐洲施行了近一年之久，中國也在2017年6月推出了《網絡安全法》，旨在監(jiān)管網絡安全、保護個人隱私和敏感信息，以及維護國家網絡空間主權和安全。然而直至今日，仍有許多酒店遲遲不愿承認與面對，更沒有及時采取應對措施去解決相關問題。

 

 
賽門鐵克公司的研究員們隨機選擇了一些旅游景點，并檢索了位于這些地點的不同級別的熱門酒店。從鄉(xiāng)村二星級普通酒店到豪華五星級海邊度假村等等，一些大型知名連鎖酒店的旗下品牌也被納入測試范疇，這意味著賽門鐵克公司的調查結果基本上可以反映業(yè)內普遍情況。其中部分網站的預訂系統(tǒng)在隱私保護方面表現良好，只簡單顯示了基礎數據和停留日期，并未透露任何個人信息。但絕大多數網站都泄露了如下個人數據：

·姓名
·電子郵件地址
·郵寄地址
·手機號碼
·信用卡后四位數字、卡類型和有效日期
·護照號
 

圖 1.預訂信息樣本 - 顯示可能會泄露的顧客預訂數據類型

 
數據泄露的原因

在賽門鐵克公司研究員評測的酒店中，超過一半 (57％) 的酒店會向顧客發(fā)送電子郵件確認預訂信息，并在郵件中提供可以直接訪問預訂信息的鏈接。其本意是為了方便顧客，讓顧客無需登錄即可進入預訂窗口。 然而，這些預定信息在通過電子郵件發(fā)送的同時，由于很多第三方會在同一網站上加載廣告，會導致直接訪問權會被共享給其他資源，或者被間接共享。賽門鐵克的測試表明，每次預訂平均會生成 176 個請求，雖然并非所有請求都包含詳細的預訂信息，但這一數字表明預訂數據會被大范圍共享。
 

圖 2.測試示例 – 個人信息可通過 HTTP 請求中的 referrer 字段被間接共享

 
研究測試發(fā)現，顧客如果使用電子郵件中收到的鏈接直接自動登錄到預定窗口，在此過程中加載的頁面可能會調用許多遠程資源，而這些外部對象發(fā)出的Web請求會直接將完整URL作為參數發(fā)送。在此次測試中，酒店預定碼被30多個不同的服務供應商共享，包括一些知名社交網絡、搜索引擎以及廣告和分析服務供應商。在這種情況下，第三方服務可以登錄預訂窗口，查看詳細的個人信息，甚至取消顧客的預訂。值得強調的是，出現這種問題并非服務供應商的責任。
 
此外，對于預訂數據的泄露，還有其他潛在的原因。有些數據泄露發(fā)生在預訂過程中，有些則發(fā)生在顧客手動登錄網站時。一些網站為了安全起見會生成一個令牌，然后通過 URL 而非安全證書進行傳送，但是這種做法也不值得提倡。 而且，在多數情況下即使顧客的酒店預訂已經被取消，預訂數據仍然可見，這便為攻擊者竊取個人信息提供了絕佳的機會。
 
值得一提的是，一些配置良好的網站會先識別安全憑證，然后在設置 cookie 后重新定向，以確保數據不會泄露。
 
未加密的鏈接

研究發(fā)現，有超過四分之一 (29％) 的酒店網站沒有對電子郵件（包含 ID）中的初始鏈接加密，這一點令人擔憂。一旦顧客點擊電子郵件中的 HTTP 鏈接，攻擊者便會在這一進程中攔截顧客憑證，從而達到查看或修改其預訂信息的目的。這一情形很可能發(fā)生在機場或酒店等使用公共熱點的場所，除非用戶主動使用 VPN 軟件來保護鏈接。甚至有個別預訂系統(tǒng)在其鏈接從HTTP重定向到 HTTPS 之前，就已經在預訂過程中將數據泄露給了服務器。
 
這一問題并非只出現在酒店業(yè)，網站通過 URL 參數或 referrer 字段意外泄露敏感信息的現象屢見不鮮。近幾年來，很多航空公司、度假景點和其他行業(yè)網站都出現過類似問題。2019 年 2 月，賽門鐵克的研究人員便發(fā)現多家航空公司服務供應商在使用未加密鏈接時出現了類似的問題。
 
潛在風險

最近賽門鐵克旗下公司諾頓 LifeLock發(fā)布的《2018年諾頓LifeLock網絡安全調查報告》顯示，85%的中國人比以往更加警惕隱私安全——這一數字在全球參與調查的16個國家和地區(qū)中占居前列。然而，大多數人依舊愿意承擔一定隱私泄露的風險以追求便利(62％)。
 
許多人都喜歡在社交媒體上發(fā)布照片，與大家分享他們在旅行中的點滴回憶。有些人甚至會直接分享他們的票務信息。但當他們到達酒店時卻發(fā)現預定被取消，才會了解自己的一時大意可能會造成什么樣的后果。雖然攻擊者這么做可能是出于取樂或報復的心態(tài)，但也不排除勒索敲詐或者競爭對手暗箱操作的可能，這也會對酒店的聲譽造成影響。
 
對酒店業(yè)而言，配置不當的云存儲桶也經常導致數據泄露。這些信息隨后便可能在黑市上被兜售或用于身份欺詐。收集的數據越全面，其價值就越高。 此外，目標性攻擊團伙也可能對商務人士和政府職員的行程進行攻擊。眾所周知，DarkHotel / Armyworm、OceanLotus / Destroyer，Swallowtail 和 WhiteFly 等 APT 組織已經對酒店業(yè)產生了惡劣影響。這些團伙瞄準酒店業(yè)的原因有很多，比如監(jiān)視目標、跟蹤行程和探查隨行人員，或者為了了解某一用戶在某一地點停留的時長，甚至實地侵入目標的位置等。
 
解決問題

無論是歐盟的GDPR還是我國的《網絡安全法》，都對對個人數據的保護作出了強調。然而賽門鐵克公司對存在這一問題的酒店業(yè)進行的調查結果顯示實際情況并不樂觀。就此調查結果，賽門鐵克也聯(lián)系了相關的酒店數據隱私官(DPO)，一些DPO認為這些數據并非“個人數據”，必須要根據隱私政策與廣告公司共享；一些則承認他們仍在升級系統(tǒng)，直至完全符合GDPR標準。
 
服務預訂網站應統(tǒng)一使用加密鏈接 (HTTPS)，并確保任何憑證都不會以 URL 參數的形式泄露，即使適用隱私條例允許也不例外（尤其是在歐洲），例如使用 cookie。顧客可以檢查鏈接是否已加密，或者個人數據（如電子郵件地址）是否作為 URL 中的可見數據進行傳遞。他們還可以使用 VPN 服務來最大限度地降低使用公共熱點而帶來的信息泄露風險。遺憾的是，對于普通的酒店顧客來說，察覺信息泄露并非易事，而如果他們要預訂特定的酒店，選擇的余地也就變的非常有限。到目前為止，GDPR 違規(guī)、投訴和數據泄露事件已經報告超過 20 萬起，用戶個人數據仍然面臨著風險。