賽門(mén)鐵克首席安全研究人員Candid Wueest近日發(fā)文稱(chēng)，酒店網(wǎng)站可能會(huì )泄露客人的預訂詳情，允許其他人查看客人的個(gè)人數據，甚至取消他們的預訂。在最近研究酒店網(wǎng)站上可能發(fā)生的劫持攻擊時(shí)，Wueest偶然發(fā)現了一個(gè)可能泄漏客人個(gè)人數據的問(wèn)題。

Wueest測試了多個(gè)網(wǎng)站 - 包括54個(gè)國家/地區的1500多家酒店 - 以確定這個(gè)隱私問(wèn)題的常見(jiàn)程度。我發(fā)現這些網(wǎng)站中有三分之二（67％）無(wú)意中將預訂參考代碼泄露給第三方網(wǎng)站，如廣告客戶(hù)和分析公司。他們都有隱私政策，但他們都沒(méi)有明確提到這種行為。

雖然廣告商跟蹤用戶(hù)的瀏覽習慣已經(jīng)不是什么秘密，但在這種情況下，共享的信息可以允許這些第三方服務(wù)登錄預訂，查看個(gè)人詳細信息，甚至完全取消預訂。自從《通用數據保護條例》（GDPR）在歐洲生效以來(lái)已近一年了，但受此問(wèn)題影響的許多酒店的遵守法規的速度非常緩慢。

Wueest測試過(guò)的網(wǎng)站從鄉村的二星級酒店到海灘上的豪華五星級度假村酒店網(wǎng)站。一些預訂系統值得稱(chēng)贊，因為它們只顯示了數值和停留日期，并沒(méi)有透露任何個(gè)人信息。但大多數網(wǎng)站泄露了個(gè)人數據，例如：

全名

電子郵件地址

郵寄地址

手機號碼

信用卡、卡類(lèi)型和到期日的最后四位數字

護照號

是什么導致這些泄漏？

Wueest測試的網(wǎng)站中有超過(guò)一半（57％）向客戶(hù)發(fā)送確認電子郵件，并提供直接訪(fǎng)問(wèn)其預訂的鏈接。這是為了方便客戶(hù)而提供的，只需點(diǎn)擊鏈接即可直接進(jìn)入預訂，無(wú)需登錄。

由于電子郵件需要靜態(tài)鏈接，因此HTTP POST Web請求實(shí)際上不是一個(gè)選項，這意味著(zhù)預訂參考代碼和電子郵件將作為URL本身的參數傳遞。就其本身而言，這不是問(wèn)題。但是，許多網(wǎng)站直接在同一網(wǎng)站上加載其他內容，例如廣告。這意味著(zhù)直接訪(fǎng)問(wèn)可以直接與其他資源共享，也可以通過(guò)HTTP請求中的referrer字段間接共享。Wueest的測試表明，每次預訂平均生成176個(gè)請求，但并非所有這些請求都包含預訂詳細信息。該數字表示可以非常廣泛地共享預訂數據。

為了演示，Wueest假設確認電子郵件包含以下格式的鏈接，該鏈接會(huì )自動(dòng)讓W(xué)ueest登錄到他的預訂概述中：

HTTPS：//booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld

加載的頁(yè)面（在此示例中為retrieve.php網(wǎng)站）可以調用許多遠程資源。為這些外部對象發(fā)出的一些Web請求將直接將完整URL（包括憑據）作為URL參數發(fā)送。

以下是分析請求的示例，其中包含完整的原始URL，包括作為參數的參數：

%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail% 3Djohn％5Fsmith％40myMail.tld＆dt

=你的％20booking＆sr = 1920x1080＆vp = 1061x969＆je = 0＆_u = SCEBgAAL~＆jid = 1804692919＆gjid =

1117313061＆cid = 1111866200.1552848010＆tid = UA-000000-2＆_gid = 697872061.1552848010＆gtm = 2wg3b2MMKSS89＆z = 337564139

如上所述，相同的數據也在referrer字段中，在大多數情況下將由瀏覽器發(fā)送。這導致參考代碼與30多個(gè)不同的服務(wù)提供商共享，包括眾所周知的社交網(wǎng)絡(luò )，搜索引擎以及廣告和分析服務(wù)。此信息可能允許這些第三方服務(wù)登錄預訂，查看個(gè)人詳細信息，甚至完全取消預訂。

還有其他情況，預訂數據也可能被泄露。有些網(wǎng)站會(huì )在預訂過(guò)程中傳遞信息，而其他網(wǎng)站會(huì )在客戶(hù)手動(dòng)登錄網(wǎng)站時(shí)泄露信息。其他人生成一個(gè)訪(fǎng)問(wèn)令牌，然后在URL而不是憑據中傳遞，這也不是好習慣。

在大多數情況下，Wueest發(fā)現即使預訂被取消，預訂數據仍然可見(jiàn)，從而為攻擊者提供了竊取個(gè)人信息的機會(huì )。

酒店比較網(wǎng)站和預 訂引擎似乎更安全。從Wueest測試的五個(gè)服務(wù)中，兩個(gè)泄露了憑據，一個(gè)發(fā)送了登錄鏈接而沒(méi)有加密。應該注意的是，Wueest發(fā)現了一些配置良好的網(wǎng)站，它們首先需要Digest認證，然后在設置cookie后重定向，確保數據不會(huì )泄露。

未加密的鏈接

可以認為，由于數據僅與網(wǎng)站信任的第三方提供商共享，因此該問(wèn)題的隱私風(fēng)險較低。然而，令人遺憾的是，Wueest發(fā)現超過(guò)四分之一（29％）的酒店網(wǎng)站沒(méi)有加密包含該ID的電子郵件中發(fā)送的初始鏈接。因此，潛在的攻擊者可以攔截點(diǎn)擊電子郵件中的HTTP鏈接的客戶(hù)的憑證，例如，查看或修改他或她的預訂。這可能發(fā)生在公共熱點(diǎn)，如機場(chǎng)或酒店，除非用戶(hù)使用VPN軟件保護連接。Wueest還觀(guān)察到一個(gè)預訂系統在連接被重定向到HTTPS之前，在預訂過(guò)程中將數據泄露給服務(wù)器。

不幸的是，這種做法并不是酒店業(yè)獨有的。通過(guò)URL參數或在referrer字段中無(wú)意中共享敏感信息在網(wǎng)站中很普遍。在過(guò)去的幾年里，Wueest看到過(guò)多家航空公司、度假景點(diǎn)和其他網(wǎng)站的類(lèi)似問(wèn)題。其他研究人員在2019年2月報告了類(lèi)似的問(wèn)題，其中未加密的鏈接被用于多個(gè)航空公司服務(wù)提供商。

更多問(wèn)題

Wueest還發(fā)現，多個(gè)網(wǎng)站允許強制執行預訂參考以及枚舉攻擊。在許多情況下，預訂參考代碼只是從一個(gè)預訂增加到下一個(gè)預訂。這意味著(zhù)，如果攻擊者知道客戶(hù)的電子郵件或姓氏，他們就可以猜出該客戶(hù)的預訂參考號并登錄。強行預訂號碼是旅游行業(yè)的一個(gè)普遍問(wèn)題，Wueest之前曾在博客中發(fā)表過(guò)這樣的信息。

這樣的攻擊可能無(wú)法很好地擴展，但是當攻擊者考慮到特定目標或目標位置已知時(shí)，它確實(shí)可以正常工作，例如會(huì )議酒店。對于某些網(wǎng)站，后端甚至不需要客戶(hù)的電子郵件或姓名 - 所需要的只是有效的預訂參考代碼。Wueest發(fā)現了這些編碼錯誤的多個(gè)例子，這使Wueest不僅可以訪(fǎng)問(wèn)大型連鎖酒店的所有有效預訂，還可以查看國際航空公司的每張有效機票。

一個(gè)預訂引擎非常智能，可以為訪(fǎng)客創(chuàng )建一個(gè)隨機的PIN碼，以便與預訂參考號一起使用。不幸的是，登錄沒(méi)有綁定到訪(fǎng)問(wèn)的實(shí)際預訂。因此，攻擊者只需使用自己的有效憑據登錄并仍可訪(fǎng)問(wèn)任何預訂。Wueest沒(méi)有看到任何證據表明后端有任何速率限制可以減緩此類(lèi)攻擊。

有什么風(fēng)險？

許多人通過(guò)在社交媒體網(wǎng)絡(luò )上發(fā)布照片來(lái)定期分享他們的旅行細節。這些人可能不太關(guān)心他們的隱私，實(shí)際上可能希望他們的關(guān)注者知道他們的行蹤，但Wuees相當肯定如果他們到達他們的酒店并發(fā)現他們的預訂已被取消后，他們會(huì )更加注意。攻擊者可能會(huì )因為娛樂(lè )或個(gè)人報復而決定取消預訂，但也可能損害酒店的聲譽(yù)，作為勒索計劃的一部分或作為競爭對手的破壞行為。

酒店業(yè)也存在相當多的數據泄露，以及數據配置不當的云數據的數據泄露。然后，這些信息可以在暗網(wǎng)上出售或用于進(jìn)行身份欺詐。收集的數據集越完整，它就越有價(jià)值。

詐騙者還可以使用以這種方式收集的數據來(lái)發(fā)送令人信服的個(gè)性化垃圾郵件或執行其他社交工程攻擊。提供個(gè)人信息可以提高勒索郵件的可信度，就像那些聲稱(chēng)你被黑客攻擊的郵件一樣。

此外，有針對性的攻擊團體也可能對商業(yè)專(zhuān)業(yè)人士和政府雇員的行程感興趣。例如DarkHotel/Armyworm, OceanLotus/Destroyer, Swallowtail及Whitefly等APT團伙。這些群體對這一領(lǐng)域感興趣的原因有很多，包括一般監視目的，跟蹤目標的動(dòng)作、識別隨行人員，或者找出某人在特定地點(diǎn)停留多久。它還可以允許物理訪(fǎng)問(wèn)目標的位置。

解決問(wèn)題

根據GDPR，歐盟個(gè)人的個(gè)人數據? ?須根據這些問(wèn)題得到更好的保護。然而，受影響酒店對Wueest的調查結果的回應令人失望。

Wueest聯(lián)系了受影響酒店的數據隱私官（DPO）并告知他們相關(guān)調查結果。令人驚訝的是，25％的DPO在六周內沒(méi)有回復。一封電子郵件被退回，因為隱私政策中的電子郵件地址不再有效。在做出回應的人中，他們平均花了10天回應。做出回應的人主要確認收到他的詢(xún)問(wèn)，并承諾調查該問(wèn)題并實(shí)施任何必要的變更。一些人認為，根本不是個(gè)人數據，而且必須與隱私政策中所述的廣告公司共享數據。一些人承認他們仍在更新他們的系統以完全符合GDPR標準。其他使用外部服務(wù)進(jìn)行預訂系統的酒店開(kāi)始擔心服務(wù)提供商畢竟不符合GDPR標準。

預訂站點(diǎn)應使用加密鏈接并確保沒(méi)有憑據作為URL參數泄露?？蛻?hù)可以檢查鏈接是否已加密，或者個(gè)人數據（如電子郵件地址）是否作為URL中的可見(jiàn)數據傳遞。他們還可以使用VPN服務(wù)來(lái)最大限度地減少他們在公共熱點(diǎn)上的曝光率。不幸的是，對于普通的酒店客人來(lái)說(shuō)，發(fā)現這樣的泄漏可能不是一件容易的事，如果他們想要預訂特定的酒店，他們可能沒(méi)有多少選擇。

盡管GDPR大約一年前在歐洲生效，但這個(gè)問(wèn)題存在的事實(shí)表明，GDPR的實(shí)施還沒(méi)有完全解決組織如何應對數據泄漏問(wèn)題。到目前為止，已經(jīng)報告了超過(guò)20萬(wàn)起GDPR投訴和數據泄露案件，用戶(hù)的個(gè)人數據仍然存在風(fēng)險。

Hash:e998ef54dbfa2f7bcfde578e1fd2a720d3df6944