Symantec調查:67%酒店網站 意外洩漏訂房客戶資料

撰文:許懿安
出版:更新:

美國網絡安全公司賽門鐵克(Symantec Corporation)周三(10日)公布調查報告,指三分之二的酒店網站除與廣告商分享顧客的瀏覽習慣,更可能讓他們看到客戶的個人資料,甚至預訂房間資料。酒店營運商也可能在無意中幫了黑客的忙,讓他們更易取得包括客戶的全名、電郵地址、信用卡資料和護照號碼等。

酒店會對預訂房間的客人發出電郵,確認已為其做妥住宿安排。然而這些電郵中可能有一個保安漏洞,導致客戶個人資料外洩。

Symantec調查54個國家共1500多家酒店的網站,發現67%無意中對外洩漏客戶的個人資料。這些網站遍佈美國、加拿大,部分位處歐洲。出事的網站由評級僅兩星的汽車旅館,到5星級的海灘渡假村都有。

這個保安漏洞存在於酒店發送給客戶的電郵,Symantec主要威脅研究員Candid Wueest指出,這類電郵內文往往附有一個連結,用家點擊後可打開一新的視窗並進入一個網站;他們可在重新登入的情況下,能取閱其訂房資料,並在有需要時做出修改。連結通常包含預訂號碼以及客戶的電郵地址。

這本來不是什麼一回事,然而酒店跟很多公司一樣,都會將客戶資料跟第三方分享,除了用戶的瀏覽習慣,客戶的預訂號碼及電郵地址也會落入外部企業手中。對於黑客而言,他們則只需取得預訂號碼,便能將客戶住址、全名、手提電話號碼、護照號碼以及其他敏感資料拿到手。

Symantec也發現少數酒店不會將訂房確認電郵中的連結加密,這可能讓黑客有機可乘。此外,Symantec雖有聯絡相關酒店,然而並非所有酒店都會採取行動。

Symantec建議,使用公共Wifi修改酒店訂房選項的人,最好先啟動VPN(虛擬私人網路),而如果訂房確認電郵中的連結跟以下的例子相似,便要格外小心:https://booking.酒店名稱/retrieve.php?prn=預訂號碼&mail=你的電郵地址.tld

(Engadget/路透社)