2/3 trang web khách sạn làm rò rỉ dữ liệu người dùng

Theo nghiên cứu mới đây của công ty an ninh mạng Symantec, phần lớn hệ thống đặt phòng của các khách sạn có thể bị tin tặc khai thác để truy cập thông tin cá nhân của khách hàng như số di động và hộ chiếu.

Việc rò rỉ thông tin là do các email xác nhận đặt phòng được gửi đến khách hàng thường chứa một về đường link không an toàn đến đơn đặt phòng của họ. Nghiên cứu cho thấy rằng bất kỳ ai trên cùng mạng cũng có thể chặn email, thậm chí sửa đổi hoặc hủy đơn đặt phòng của họ.

Candid Wueest, nhà nghiên cứu chính về mối đe dọa tại Symantec, cho biết 67% trong số hơn 1500 khách sạn tại 54 quốc gia mà ông nghiên cứu bị ảnh hưởng bởi vấn đề này. Các lỗ hổng bảo mật đã vi phạm Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu, trong đó quy định các công ty phải bảo vệ dữ liệu cá nhân của khách hàng.

Trong số những trang web Wueest nghiên cứu, hơn một nửa (57%) gửi email xác nhận đặt phòng cho khách hàng có đường link truy cập trực tiếp đến việc đặt phòng của họ. Điều này giúp thuận tiện cho khách hàng, họ chỉ cần nhấp vào đường link là có thể xem thông tin đặt phòng của mình mà không cần phải đăng nhập.

Các email này yêu cầu một liên kết tĩnh, mã đặt phòng và email được gửi trong chính URL đó.Thực tế, đây không phải là vấn đề lớn nhưng vì hầu hết các trang web đều tải nội dung bổ sung như quảng cáo lên cùng một trang, nghĩa là quyền truy cập trực tiếp được chia sẻ (hoặc trực tiếp với các tài nguyên khác hoặc gián tiếp thông qua trường referrer trong yêu cầu HTTP), dẫn tới nguy cơ rò rỉ dữ liệu của khách hàng.

Các khách sạn đã chia sẻ mã đặt phòng với trung bình khoảng 30 bên thứ ba, bao gồm các mạng xã hội, công cụ tìm kiếm và các công ty quảng cáo, phân tích.

Ngoài ra còn có những kịch bản khác, trong đó dữ liệu đặt phòng cũng có thể bị rò rỉ. Một số trang web truyền dữ liệu trong quá trình đặt phòng, trong khi những trang khác có thể làm rò rỉ thông tin khi khách hàng đăng nhập thủ công vào trang web.

“Trong hầu hết các trường hợp, tôi thấy rằng dữ liệu đặt phòng vẫn hiển thị, ngay cả khi việc đặt phòng đã bị hủy, mang lại cho kẻ tấn công cơ hội lớn để đánh cắp thông tin cá nhân”, Candid Wueest cho biết.

Các lỗi bảo mật khác bao gồm 29% số trang web được nghiên cứu không mã hóa dữ liệu đặt phòng, có nghĩa là kẻ tấn công có thể chặn thông tin đăng nhập của người dùng để xem chi tiết hoặc sửa đổi thông tin đặt phòng, nếu họ sử dụng Wi-Fi công cộng.

Wueest cũng bổ sung thêm rằng nhiều trang web khác không có những biện pháp bảo vệ để chống lại các cuộc tấn công bằng kỹ thuật thử đúng sai liên tục (brute- force) mã đặt phòng.

Candid Wueest cảnh báo dữ liệu bị đánh cắp có thể được sử dụng để thực hiện hành vi trộm cắp danh tính, khởi động các cuộc tấn công lừa đảo hoặc tống tiền hay thậm chí để giám sát các nhân viên chính phủ và doanh nghiệp cao cấp.