Процедура заказа гостиничного номера онлайн давно уже стала делом абсолютно привычным – как и получение на адрес электронной почты ссылки с подтверждением бронирования. К сожалению, эта ссылка часто служит источником утечки персональных данных. К такому выводу пришел исследователь компании Symantec Кандид Вуист. Он изучил более 1500 сайтов различных отелей в 54 странах мира и пришел к выводу, что две трети из них так или иначе раскрывают информацию о своих гостях.
Сайт автоматически генерирует URL-ссылку, подтверждающую бронирование, которая отправляется гостю. Однако доступна она оказывается совсем не только ему. Сайты содержат рекламные модули, инструменты аналитики, плагины социальных сетей и т.д. Всем этим инструментам, относящимся к третьим сторонам, потенциально становится доступной информация бронирования. А она, как правило, включает имя гостя, данные его паспорта, адрес проживания и электронной почты, предполагаемые даты пребывания в отеле, а также срок действия и последние четыре цифры номера банковской карты, с которой была проведена оплата. При этом в одной трети случаев номер бронирования оказывается включен непосредственно в URL-адрес, а сайты 850 отелей не требуют аутентификации для перехода по ссылке. Это потенциально позволяет злоумышленникам не только получать доступ к персональным данным пользователя, но и вносить изменения в бронирование вплоть до его отмены.
Также Вуист обнаружил, что сайты некоторых отелей не защищены от атак по типу brute-force. Это означает, что атакующий может до бесконечности вводить различные комбинации цифр, пока, наконец, не угадает номер интересующего его бронирования. Если учесть, что современные вычислительные технологии позволяют перебрать все возможные комбинации пароля из восьми символов менее, чем за три часа, становится ясно, что такая атака более чем реальна.
Источник: CNet
г. Москва, улица 8 марта, дом 1, строение 12 (БЦ Трио, первая башня)
+7 495 730-2969 info@tcinet.ru
+7 495 730-2970
