在大多数酒店网站上运行的第三方服务可以访问客人预订信息,包括个人数据和支付卡详细信息。他们获取的数据也允许他们取消预订。遍布54个国家/地区的1,500多家酒店的多个网站未能保护用户信息免受广告商和分析公司等合作伙伴服务的影响。在67%的研究案例中,某些级别的个人信息通过预订系统泄露。
以这种方式公开的数据可能包括客人的全名,电子邮件和实际地址,电话号码,支付卡的最后四位数字、支付卡的类型、到期日期以及护照号码。
预订链接和第三方服务存在隐私风险
大多数酒店预订网站都会向客人发送一封确认电子邮件,其中包含不需要登录的预订详细信息的直接链接。电子邮件地址和预订ID将作为链接的参数传递。当客户登陆加载来自第三方的其他内容的网站时,就会发生隐私问题。
另外一个有关的发现是,即使取消预订,预订数据仍然存在。这将允许攻击者为不是目标酒店的客人的个人信息收集记录。
通过搜索引擎进行预订也不是更安全的方法。研究人员发现,他测试的五个第三方服务中有两项泄露了凭据,另一项未通过安全连接发送登录链接。
数据安全风险违反GDPR
由于数据到达被网站信任的第三方提供商,因此与这些泄漏相关的风险可能被认为足够低而不会引起担忧。但是,内部恶意人员可能会收集相关URL并使用它们来窃取客户信息。
在欧洲,这些做法违反了“一般数据保护条例”(GDPR)的规定。当酒店的数据隐私 官在被告知隐私风险六周后,25%的人没有回复。那些回复的人平均需要10天才能发出回复,并说他们会承诺解决问题。