賽門鐵克首席安全研究人員Candid Wueest近日發文稱,酒店網站可能會洩露客人的預訂詳情,允許其他人檢視客人的個人資料,甚至取消他們的預訂。在最近研究酒店網站上可能發生的劫持攻擊時,Wueest偶然發現了一個可能洩漏客人個人資料的問題。
Wueest測試了多個網站 - 包括54個國家/地區的1500多家酒店 - 以確定這個隱私問題的常見程度。這些網站中有三分之二(67%)無意中將預訂參考程式碼洩露給第三方網站,如廣告客戶和分析公司。他們都有隱私政策,但他們都沒有明確提到這種行為。
雖然廣告商跟蹤使用者的瀏覽習慣已經不是什麼祕密,但在這種情況下,共享的資訊可以允許這些第三方服務登入預訂,檢視個人詳細資訊,甚至完全取消預訂。自從《通用資料保護條例》(GDPR)在歐洲生效以來已近一年了,但受此問題影響的許多酒店的遵守法規的速度非常緩慢。
Wueest測試過的網站從鄉村的二星級酒店到海灘上的豪華五星級度假村酒店網站。一些預訂系統值得稱讚,因為它們只顯示了數值和停留日期,並沒有透露任何個人資訊。但大多數網站洩露了個人資料,例如:
全名
電子郵件地址
郵寄地址
手機號碼
信用卡、卡型別和到期日的最後四位數字
護照號
是什麼導致這些洩漏?
Wueest測試的網站中有超過一半(57%)向客戶傳送確認電子郵件,並提供直接訪問其預訂的連結。這是為了方便客戶而提供的,只需點選連結即可直接進入預訂,無需登入。
由於電子郵件需要靜態連結,因此HTTP POST Web請求實際上不是一個選項,這意味著預訂參考程式碼和電子郵件將作為URL本身的引數傳遞。就其本身而言,這不是問題。但是,許多網站直接在同一網站上載入其他內容,例如廣告。這意味著直接訪問可以直接與其他資源共享,也可以通過HTTP請求中的referrer欄位間接共享。Wueest的測試表明,每次預訂平均生成176個請求,但並非所有這些請求都包含預訂詳細資訊。該數字表示可以非常廣泛地共享預訂資料。
為了演示,Wueest假設確認電子郵件包含以下格式的連結,該連結會自動讓Wueest登入到他的預訂概述中:
HTTPS://booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld
載入的頁面(在此示例中為retrieve.php網站)可以呼叫許多遠端資源。為這些外部物件發出的一些Web請求將直接將完整URL(包括憑據)作為URL引數傳送。
以下是分析請求的示例,其中包含完整的原始URL,包括作為引數的引數:
https://www.google-analytics.com/collect?v=1&_v=j73&a=438338256&t=pageview&_s=1&dl=https%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail% 3Djohn%5Fsmith%40myMail.tld&dt
=你的%20booking&sr = 1920x1080&vp = 1061x969&je = 0&_u = SCEBgAAL~&jid = 1804692919&gjid =
1117313061&cid = 1111866200.1552848010&tid = UA-000000-2&_gid = 697872061.1552848010&gtm = 2wg3b2MMKSS89&z = 337564139
如上所述,相同的資料也在referrer欄位中,在大多數情況下將由瀏覽器傳送。這導致參考程式碼與30多個不同的服務提供商共享,包括眾所周知的社交網路,搜尋引擎以及廣告和分析服務。此資訊可能允許這些第三方服務登入預訂,檢視個人詳細資訊,甚至完全取消預訂。
還有其他情況,預訂資料也可能被洩露。有些網站會在預訂過程中傳遞資訊,而其他網站會在客戶手動登入網站時洩露資訊。其他人生成一個訪問令牌,然後在URL而不是憑據中傳遞,這也不是好習慣。
在大多數情況下,Wueest發現即使預訂被取消,預訂資料仍然可見,從而為攻擊者提供了竊取個人資訊的機會。
酒店比較網站和預訂引擎似乎更安全。從Wueest測試的五個服務中,兩個洩露了憑據,一個傳送了登入連結而沒有加密。應該注意的是,Wueest發現了一些配置良好的網站,它們首先需要Digest認證,然後在設定cookie後重定向,確保資料不會洩露。
未加密的連結
可以認為,由於資料僅與網站信任的第三方提供商共享,因此該問題的隱私風險較低。然而,令人遺憾的是,Wueest發現超過四分之一(29%)的酒店網站沒有加密包含該ID的電子郵件中傳送的初始連結。因此,潛在的攻擊者可以攔截點選電子郵件中的HTTP連結的客戶的憑證,例如,檢視或修改他或她的預訂。這可能發生在公共熱點,如機場或酒店,除非使用者使用VPN軟體保護連線。Wueest還觀察到一個預訂系統在連線被重定向到HTTPS之前,在預訂過程中將資料洩露給伺服器。
不幸的是,這種做法並不是酒店業獨有的。通過URL引數或在referrer欄位中無意中共享敏感資訊在網站中很普遍。在過去的幾年裡,Wueest看到過多家航空公司、度假景點和其他網站的類似問題。其他研究人員在2019年2月報告了類似的問題,其中未加密的連結被用於多個航空公司服務提供商。
更多問題
Wueest還發現,多個網站允許強制執行預訂參考以及列舉攻擊。在許多情況下,預訂參考程式碼只是從一個預訂增加到下一個預訂。這意味著,如果攻擊者知道客戶的電子郵件或姓氏,他們就可以猜出該客戶的預訂參考號並登入。強行預訂號碼是旅遊行業的一個普遍問題,Wueest之前曾在部落格中發表過這樣的資訊。
這樣的攻擊可能無法很好地擴充套件,但是當攻擊者考慮到特定目標或目標位置已知時,它確實可以正常工作,例如會議酒店。對於某些網站,後端甚至不需要客戶的電子郵件或姓名 - 所需要的只是有效的預訂參考程式碼。Wueest發現了這些編碼錯誤的多個例子,這使Wueest不僅可以訪問大型連鎖酒店的所有有效預訂,還可以檢視國際航空公司的每張有效機票。
一個預訂引擎非常智慧,可以為訪客建立一個隨機的PIN碼,以便與預訂參考號一起使用。不幸的是,登入沒有繫結到訪問的實際預訂。因此,攻擊者只需使用自己的有效憑據登入並仍可訪問任何預訂。Wueest沒有看到任何證據表明後端有任何速率限制可以減緩此類攻擊。
有什麼風險?
許多人通過在社交媒體網路上釋出照片來定期分享他們的旅行細節。這些人可能不太關心他們的隱私,實際上可能希望他們的關注者知道他們的行蹤,但Wuees相當肯定如果他們到達他們的酒店並發現他們的預訂已被取消後,他們會更加註意。攻擊者可能會因為娛樂或個人報復而決定取消預訂,但也可能損害酒店的聲譽,作為勒索計劃的一部分或作為競爭對手的破壞行為。
酒店業也存在相當多的資料洩露,以及資料配置不當的雲資料的資料洩露。然後,這些資訊可以在暗網上出售或用於進行身份欺詐。收集的資料集越完整,它就越有價值。
詐騙者還可以使用以這種方式收集的資料來傳送令人信服的個性化垃圾郵件或執行其他社交工程攻擊。提供個人資訊可以提高勒索郵件的可信度,就像那些聲稱你被黑客攻擊的郵件一樣。
此外,有針對性的攻擊團體也可能對商業專業人士和政府僱員的行程感興趣。例如DarkHotel/Armyworm, OceanLotus/Destroyer, Swallowtail及Whitefly等APT團伙。這些群體對這一領域感興趣的原因有很多,包括一般監視目的,跟蹤目標的動作、識別隨行人員,或者找出某人在特定地點停留多久。它還可以允許物理訪問目標的位置。
解決問題
根據GDPR,歐盟個人的個人資料必須根據這些問題得到更好的保護。然而,受影響酒店對Wueest的調查結果的回應令人失望。
Wueest聯絡了受影響酒店的資料隱私官(DPO)並告知他們相關調查結果。令人驚訝的是,25%的DPO在六週內沒有回覆。一封電子郵件被退回,因為隱私政策中的電子郵件地址不再有效。在做出回應的人中,他們平均花了10天回應。做出回應的人主要確認收到他的詢問,並承諾調查該問題並實施任何必要的變更。一些人認為,根本不是個人資料,而且必須與隱私政策中所述的廣告公司共享資料。一些人承認他們仍在更新他們的系統以完全符合GDPR標準。其他使用外部服務進行預訂系統的酒店開始擔心服務提供商畢竟不符合GDPR標準。
預訂站點應使用加密連結並確保沒有憑據作為URL引數洩露。客戶可以檢查連結是否已加密,或者個人資料(如電子郵件地址)是否作為URL中的可見資料傳遞。他們還可以使用VPN服務來最大限度地減少他們在公共熱點上的曝光率。不幸的是,對於普通的酒店客人來說,發現這樣的洩漏可能不是一件容易的事,如果他們想要預訂特定的酒店,他們可能沒有多少選擇。
儘管GDPR大約一年前在歐洲生效,但這個問題存在的事實表明,GDPR的實施還沒有完全解決組織如何應對資料洩漏問題。到目前為止,已經報告了超過20萬起GDPR投訴和資料洩露案件,使用者的個人資料仍然存在風險。
來源:cnBeta.COM