Преди летните отпуски: две трети от сайтовете за он-лайн резервации пренасочват чувствителна информация

Преди летните отпуски: две трети от сайтовете за он-лайн резервации пренасочват чувствителна информация
Преди летните отпуски

Услугите на трети страни, които се изпълняват на повечето уебсайтове за хотелски резервации, имат достъп до информация на гости, включително лични данни и данни за дебитната/кредитната карта. Данните, с които разполагат, също така биха им позволили да отменят резервации.

Множество уебсайтове с над 2300 хотела в 54 страни не успяват да защитят информацията на потребителите от провайдерите на партньорски услуги, като например рекламодатели и компании за анализ. В 67% от изследваните случаи, някои нива на лична информация се пропускат чрез справочни кодове за резервация.

Посочените по този начин данни могат да включват пълното име на госта, имейл адреса и физическия адрес, телефонния номер, последните четири цифри на платежната карта, както и вида и срока на валидност, и номера на паспорта.

ЛИНКЪТ ЗА РЕЗЕРВИРАНЕ Е СПОДЕЛЕН С ТВЪРДЕ МНОГО УСЛУГИ

Повечето сайтове за резервация на хотели изпращат на гостите потвърдителен имейл с директна връзка към техните данни за резервация, която не изисква влизане.

Проблемът с поверителността възниква, когато клиентът попадне на уебсайт, който зарежда допълнително съдържание от трети страни. Някои заявки към тези отдалечени ресурси съдържат пълния URL адрес, изпратен на клиента, казва Кандид Уийст, старши изследовател на заплахи в голяма компания за киберсигурност.

“Това означава, че директен достъп се споделя с други ресурси или пък индиректно чрез полето за препращане в HTTP заявката”, отбелязва експертът в анализа.

По време на тестовете си, Уийст забелязва, че за всяка резервация се генерират средно по 176 заявки. Въпреки че не всички заявки съдържат деликатни данни, броят им е достатъчно голям, за да се предположи, че „данните за резервацията могат да се споделят.

Да бъдеш в препращащата поредица означава, че референтният код за резервация се предава от браузъра, достигайки до 30 доставчика на услуги като социални мрежи, търсачки и аналитични услуги.

“Тази информация може да позволи на трети страни да влязат в резервацията, да преглеждат лични данни и дори напълно да отменят резервацията”, казва Уийст.

Въпреки това, доставчиците на трети страни не са виновни за получаването на тази информация.

Също така данните за резервацията остават налични дори и след отмяна на резервацията. Това ще позволи на злоумишленик да събере записи с лични данни за лица, които не са гости на целевия хотел.

Осъществяването на резервации чрез метатърсачки  също не е по-сигурен подход. Изследователят установи, че при две от петте услуги, които тествали, са изтичали данни. Друга тествана услуга не изпращала линка за влизане през защитена връзка.

GDPR СЕ ПРИЛАГА И ЗА ТОВА

Тъй като данните достигат до доставчиците на трети страни, които се считат за доверени от уебсайтовете, рискът, свързан може да се счита за достатъчно нисък, за да не предизвиква безпокойство. Въпреки това злонамереният вътрешен човек може да събере референтните URL адреси и да ги използва за кражба на информация за клиенти.

Нещо повече, въпросът е, че личните данни на клиентите се споделят с лица, които не трябва да имат достъп до тях.

В Европа тези практики са в рязък контраст с разпоредбите на Общия регламент за защита на данните (GDPR). Когато Уийст се свързал с служителите по поверителността на данните в засегнатите хотели, той разбрал, че някои от организациите все още работят за това системите им да бъдат напълно съвместими с GDPR. Това е почти една година след влизането в сила на закона.

25% от служителите не са отговорили шест седмици след като са били информирани за рисковете за неприкосновеността на личните данни. Онези, които отговориха, се нуждаеха от средно 10 дни, за да го направят и заявиха, че ще се ангажират с решаването на проблема.

Източник: По материали от интернет

Сподели в:

Категории:

Следвай ни в: