繼

　　華住旗下酒店1.3億客人入住信息泄露

　　，以及萬豪旗下喜達屋酒店3.83億客人開房信息泄露等事件後，酒店信息泄露似乎已經不是什麼新鮮事。據瞭解，事件原因大多是數據庫被黑客入侵。

　　然而，近日美國知名網絡安全技術廠商賽門鐵克測試了54個國家的1500多個酒店，卻發現三分之二都在泄露包括客人姓名、手機、郵箱、護照號碼在內的訂單信息，而酒店自己可能根本沒有意識到。這到底是怎麼回事？

　　第三方服務商可以替客人取消訂單

　　4月9日，賽門鐵克首席威脅研究員Candid Wueest發表了一項針對酒店泄露客人個人信息的研究結果。他根據自己喜歡的度假地點，選擇了搜索結果中排名最高的54個國家的1500多個酒店進行測試，從兩星級到五星級的都有，地點遍佈鄉村和海邊的高檔度假區。

　　他發現，這些酒店中有三分之二都在無意中將預訂代碼泄露給了第三方服務商，比如廣告商和分析公司，但他們的隱私政策並未明確提到這種行爲。也就是說，這些第三方服務商不僅可以直接登錄客人的訂單，看到客人的個人信息，甚至還可以替客人取消訂單。

　　訂單確認函樣板。圖自Wueest博客

　　Wueest貼出的一張訂單確認函的樣圖中，列出了大多數酒店會在訂單信息中包含的客人信息：訂單號、入住時間、姓名、電話、地址、郵箱、護照號碼等等。“在很多情況下，我發現即使客人取消了訂單，這些信息依然可見，給攻擊者竊取個人信息提供了機會”，他表示。

　　第三方服務商究竟是通過什麼途徑訪問客人訂單的？

　　Wueest提到，57%以上的酒店會在客人提交訂單後向其發送一封確認郵件，裏麪包含一個可以直通訂單的訪問鏈接，以便客人在未登錄的情況下訪問。由於郵件中要求鏈接必須爲靜態鏈接，因此預訂代碼和郵箱地址將作爲URL參數的一部分被傳輸，如https://booking.the-hotel.tld/retrieve.php?prn=1234567&[email protected]。

　　這本來也沒什麼問題，但很多酒店都會直接在該鏈接通往的網頁上加載其他內容。Wueest測試發現，平均每個訂單會生成176個請求——說明訂單信息會被廣泛地共享給多個第三方服務提供商，包括社交媒體、搜索引擎以及廣告商和分析服務。

　　他認爲，比較好的做法是先做驗證，然後在設置cookie後重定向，從而確保數據不會泄露。

　　酒店業、航空業存在訂單鏈接未加密的問題

　　雖然酒店可能跟第三方服務提供商有所約定，但從去年Facebook與劍橋分析的事件不難看出，第三方濫用平臺用戶個人信息的情況確實存在。Wueest的研究進一步指出，29%的酒店不會對確認郵件裏的鏈接加密，攻擊者完全可以藉此機會查看和修改訂單。

　　值得注意的是，這個問題並非酒店業獨有。Wandera威脅研究團隊今年2月發表的研究表明，航空業也存在同樣的問題。

　　航空公司訂單鏈接。

　　他們發現，法國航空、美國西南航空、荷蘭皇家航空公司和Transavia、Vueling、Jetstar等廉價航空都會以郵件或短信的方式向客人發送未加密的訂單鏈接，通過鏈接可以直接訪問和修改客戶的姓名、性別、護照號碼、電話、航班信息甚至獲得完整的登機牌。

　　除此之外，Wueest還發現很多酒店網站允許強制執行訂單號和枚舉攻擊，後者是指訂單號簡單地用上一個訂單號+1。“如果攻擊者知道客人的郵箱或他/她的姓，就可以猜出訂單號從而登錄訂單。”

　　“這種攻擊可能很難形成規模，但如果攻擊者有特定目標的話，完全可以實現攻擊”，他強調，“我找到了很多有類似漏洞的例子，不僅允許我訪問一個大型連鎖酒店旗下的所有訂單信息，還可以看到一個國際航空公司每張有效機票的信息。”

　　Wueest將他的發現告知了這些酒店，但得到的回覆並不令人滿意——25%在6個星期內沒有給出任何回覆，1個隱私政策裏的郵箱已經失效。即使是回覆了的酒店，也平均花費了10天時間，有的只是表示會就此開展調查，還有的乾脆否認這些信息屬於個人信息，並辯稱已經在隱私政策裏寫到了。

　　Wueest建議，酒店的預訂網頁應該使用加密鏈接，並保證沒有客人的個人信息通過URL的參數方式泄露。作爲客人來說，應注意查看自己的個人信息是否在URL裏明文可見，也可以使用VPN來避免在公共熱點暴露自己的信息。

　　文/南都個人信息保護研究中心研究員蔣琳