最近在研究酒店網(wǎng)站的安全性時(shí)，我偶然發(fā)現(xiàn)了一個(gè)可能泄漏顧客個(gè)人數(shù)據(jù)的問(wèn)題。為了確定該漏洞是否普遍，我的調(diào)查對(duì)象包括54個(gè)國(guó)家和地區(qū)在內(nèi)的1500多家酒店網(wǎng)站。結(jié)果顯示，這些網(wǎng)站中有三分之二（約67％）無(wú)意中將顧客的訂房信息和個(gè)人資料泄露給第三方網(wǎng)站，如廣告客戶和分析公司。這些酒店網(wǎng)站均有隱私政策，但他們并未明確提及這種行為。

雖然廣告商跟蹤用戶的瀏覽記錄已經(jīng)是公開的秘密，但在這種情況下，被共享信息允許這些第三方服務(wù)商獲取登錄權(quán)限，查看顧客訂單的詳細(xì)信息，甚至完全取消訂單。

歐洲《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱GDPR）生效已近一年，但受此問(wèn)題影響的許多酒店的響應(yīng)速度非常遲緩，更不用說(shuō)落實(shí)這一條例。

我調(diào)查的酒店檔次不同，包括鄉(xiāng)村二星級(jí)酒店至豪華五星級(jí)度假村。旅游景點(diǎn)的選擇基本上是隨機(jī)的，隨后我在搜索引擎上匹配最佳的酒店搜索結(jié)果。我也測(cè)試了一部分知名連鎖酒店的分店，這就意味著其結(jié)果可以反映該連鎖酒店的普遍情況。

部分酒店預(yù)訂系統(tǒng)比較完善，只顯示了一些數(shù)字和訂單日期，并沒有透露任何個(gè)人信息。但大多數(shù)系統(tǒng)泄露了個(gè)人數(shù)據(jù)，例如顧客姓名、電子郵件地址、郵寄地址、手機(jī)號(hào)碼、信用卡的最后四位數(shù)字、卡類型、到期日、護(hù)照號(hào)碼等。

信息泄漏的原因

在被測(cè)試的網(wǎng)站中，超過(guò)一半（57％）向客戶發(fā)送內(nèi)含可直接訪問(wèn)其預(yù)訂鏈接的確認(rèn)郵件。酒店為使服務(wù)更便利，顧客無(wú)需登錄，只需點(diǎn)擊鏈接即可直接進(jìn)入預(yù)訂頁(yè)面。

由于電子郵件內(nèi)含靜態(tài)鏈接，因此HTTP POST Web請(qǐng)求實(shí)際上不是一個(gè)選項(xiàng)，這意味著預(yù)訂號(hào)碼和電子郵件將作為URL本身的參數(shù)傳遞。就其本身而言，這不矛盾。但是，許多站點(diǎn)直接在同一網(wǎng)站上加載其他內(nèi)容，例如廣告。這意味著便利顧客預(yù)訂的同時(shí)，可以直接與其他資源共享，也可以通過(guò)HTTP請(qǐng)求中的referrer字段間接共享。該測(cè)試表明，每次預(yù)訂平均生成176個(gè)請(qǐng)求，但并非所有請(qǐng)求都包含訂單的詳細(xì)信息。這一數(shù)字也表明訂單信息可以被廣泛共享。

相同的數(shù)據(jù)也存在于referrer字段中，后者在大多數(shù)情況下由瀏覽器發(fā)送。這使預(yù)訂號(hào)碼被30多個(gè)不同的服務(wù)提供商共享，包括知名的社交網(wǎng)絡(luò)、搜索引擎以及廣告和分析服務(wù)。這些信息允許這些第三方服務(wù)商獲取登錄權(quán)限，查看顧客訂單的詳細(xì)信息，甚至完全取消訂單。

值得注意的是，這種情況并不是服務(wù)提供商的錯(cuò)。

其他情況下，訂單信息也可能泄露。部分網(wǎng)站信息泄露會(huì)發(fā)生在預(yù)訂過(guò)程中，另一些會(huì)發(fā)生在客戶手動(dòng)登錄網(wǎng)站時(shí)。其他網(wǎng)站則生成一個(gè)訪問(wèn)令牌，以URL而非憑據(jù)的形式傳遞信息（這種做法本身有待商榷）。

在大多數(shù)情況下，我發(fā)現(xiàn)即使訂單被取消，訂單信息仍然可見，從而為心懷不軌的人提供了竊取個(gè)人信息的可趁之機(jī)。

酒店比價(jià)網(wǎng)站和預(yù)訂引擎相對(duì)而言比較安全。在五個(gè)被測(cè)試的服務(wù)網(wǎng)站中，有兩個(gè)網(wǎng)站泄露了憑據(jù)，一個(gè)發(fā)送了未加密的登錄鏈接。

應(yīng)當(dāng)注意的是，在測(cè)試過(guò)程中，我檢測(cè)到一些配置良好的網(wǎng)站首先消化憑證，然后在設(shè)置cookie后重新定向，從而確保數(shù)據(jù)安全。

未加密的鏈接

由于數(shù)據(jù)僅與網(wǎng)站信任的第三方提供商共享，因此可以認(rèn)為該問(wèn)題的隱私風(fēng)險(xiǎn)較低。然而，令人頭疼的是，超過(guò)四分之一（29％）的酒店網(wǎng)站未對(duì)包含該ID的電子郵件中附有的初始鏈接進(jìn)行加密。因此，客戶在點(diǎn)擊郵件中的HTTP鏈接時(shí)，潛在黑客可以攔截其憑證，例如，查看或修改該客戶的訂單。這種情況可能發(fā)生在機(jī)場(chǎng)或酒店等公共熱點(diǎn)環(huán)境下，除非用戶使用VPN軟件保護(hù)其連接。我還發(fā)現(xiàn)，其中一個(gè)預(yù)訂系統(tǒng)在連接被重定向到HTTPS之前，就在預(yù)訂過(guò)程中將數(shù)據(jù)泄露給了服務(wù)器。

遺憾的是，這種做法并非只出現(xiàn)在酒店行業(yè)。通過(guò)URL參數(shù)或在referrer字段中意外泄露敏感信息的現(xiàn)象屢見不鮮。在過(guò)去的幾年里，多家航空公司、度假區(qū)和其他網(wǎng)站發(fā)生類似問(wèn)題。2019年2月，其他研究人員也報(bào)告了類似的問(wèn)題，其中未加密的鏈接廣泛應(yīng)用于多家航空公司服務(wù)提供商。

深層次問(wèn)題

我還發(fā)現(xiàn)，多個(gè)網(wǎng)站允許暴力破解預(yù)訂號(hào)碼以及枚舉攻擊。在許多情況下，預(yù)訂號(hào)碼只能簡(jiǎn)單地逐個(gè)遞增。這意味著，如果黑客獲得客戶的電子郵件或姓氏，他們就可以猜出該客戶的預(yù)訂號(hào)并登錄。暴力破解預(yù)訂號(hào)碼是旅游行業(yè)一個(gè)的普遍問(wèn)題，我之前也曾在博客中提到。

這種攻擊手段或許無(wú)法很好地大規(guī)模應(yīng)用，但是當(dāng)黑客具有特定目標(biāo)或已知目標(biāo)位置時(shí)，的確可以奏效，例如會(huì)議酒店。而某些網(wǎng)站后臺(tái)甚至不需要客戶的電子郵件或姓名，僅利用有效的預(yù)訂號(hào)碼即可獲取個(gè)人信息。編碼錯(cuò)誤的例子數(shù)不勝數(shù)，這使黑客不僅可以訪問(wèn)大型連鎖酒店所有有效訂單，還可以查看國(guó)際航空公司任何一張有效機(jī)票。

其中一個(gè)比較智能的預(yù)訂系統(tǒng)可以為顧客創(chuàng)建一個(gè)隨機(jī)的PIN碼，該碼需與預(yù)訂號(hào)同時(shí)使用。遺憾的是，登錄后并沒有與可訪問(wèn)的實(shí)際訂單綁定。因此，黑客只使用有效的憑據(jù)即可登錄，并仍可訪問(wèn)任何訂單。當(dāng)時(shí)，對(duì)于后臺(tái)是否有任何可以防止此類攻擊的速率限制，我并沒有發(fā)現(xiàn)任何證據(jù)。

風(fēng)險(xiǎn)

近日發(fā)布的《2018年諾頓LifeLock網(wǎng)絡(luò)安全調(diào)查報(bào)告》（2018 Norton LifeLock Cybersecurity Insights Report）顯示，83％的消費(fèi)者對(duì)他們的隱私感到擔(dān)憂，但大多數(shù)人（61％）表示如果能使生活更加便利，他們?cè)敢獬袚?dān)某些風(fēng)險(xiǎn)。

通過(guò)在社交網(wǎng)絡(luò)上分享照片，許多人定期泄露他們旅行的細(xì)節(jié)。有些人甚至光明正大地直接分享門票預(yù)訂號(hào)碼。這些人也許對(duì)隱私漫不經(jīng)心，實(shí)際上也可能希望他們的追隨者知道自己的行蹤，但我相當(dāng)肯定，如果他們到達(dá)酒店并發(fā)現(xiàn)自己的預(yù)訂被取消時(shí)，他們一定會(huì)耿耿于懷。黑客可能會(huì)因?yàn)槿�樂或�?bào)復(fù)取消某些預(yù)訂，或者是作為勒索計(jì)劃以及惡性競(jìng)爭(zhēng)的一部分，來(lái)達(dá)到損害酒店聲譽(yù)的目的。

酒店業(yè)的數(shù)據(jù)泄露和由數(shù)據(jù)配置不當(dāng)引起的云數(shù)據(jù)桶泄露也是家常便飯。這些信息可能隨后便在黑市上出售或用于身份欺詐。收集的數(shù)據(jù)集越完整，其價(jià)值就越高。

通過(guò)這種方式，黑客還可以利用收集的數(shù)據(jù)發(fā)送真假難辨的個(gè)性化垃圾郵件或展開其他社交工程攻擊。就像那些聲稱用戶被黑客攻擊的郵件一樣，提供個(gè)人信息會(huì)大大提高勒索郵件的可信度。

不僅如此，有針對(duì)性的黑客組織也可能對(duì)商業(yè)專家和政府雇員的行程充滿興趣。眾所周知，諸如DarkHotel／Armyworm，OceanLotus／Destroyer，Swallowtail和Whitefly等一些APT團(tuán)體已經(jīng)對(duì)酒店業(yè)產(chǎn)生影響。這些團(tuán)伙對(duì)這一領(lǐng)域感興趣的原因，包括監(jiān)視目標(biāo)、跟蹤行程、識(shí)別隨行人員，或者了解某人在某一地點(diǎn)停留了多久，同時(shí)還允許他們實(shí)地訪問(wèn)目標(biāo)的位置。

解決方法

根據(jù)《通用數(shù)據(jù)保護(hù)條例》，歐盟的個(gè)人數(shù)據(jù)必須得到更好的保護(hù)。然而，數(shù)據(jù)泄露的酒店對(duì)我調(diào)查結(jié)果的回應(yīng)令人失望。

我聯(lián)系了這些酒店的DPO（data privacy officer，數(shù)據(jù)隱私官）并告知他們我的調(diào)查結(jié)果。令人驚訝的是，25％的DPO在六周內(nèi)沒有回復(fù)。其中一封電子郵件被退回，因?yàn)殡[私政策中的電子郵件地址已失效。而給予回復(fù)的DPO則平均花了10天才做出回應(yīng)，他們主要表示確認(rèn)收到了我的詢問(wèn)，并承諾調(diào)查該問(wèn)題以及采取任何必要的行動(dòng)。一些DPO認(rèn)為，這些數(shù)據(jù)并非個(gè)人數(shù)據(jù)，正如隱私政策中所述，這些數(shù)據(jù)必須與廣告公司共享。

一些DPO則承認(rèn)他們?nèi)栽诟�新系統(tǒng)以完全符合《通用數(shù)據(jù)保護(hù)條例》標(biāo)準(zhǔn)。其他使用外部服務(wù)來(lái)支持預(yù)訂系統(tǒng)的酒店開始擔(dān)心他們的服務(wù)提供商是否符合該條例的標(biāo)準(zhǔn)，這表明酒店可能沒有根據(jù)該標(biāo)準(zhǔn)的要求對(duì)其預(yù)訂服務(wù)的合作伙伴進(jìn)行適當(dāng)?shù)膶彶椤?/p>

如何緩解

預(yù)訂網(wǎng)站應(yīng)當(dāng)使用加密鏈接（HTTPS）并確保無(wú)憑據(jù)以URL參數(shù)的形式泄露。用戶可以檢查鏈接是否已加密，或者個(gè)人數(shù)據(jù)（如電子郵件地址）是否作為URL中的可見數(shù)據(jù)進(jìn)行傳遞。用戶還可以使用VPN服務(wù)來(lái)最大限度地減少他們?cè)诠�共熱點(diǎn)上的曝光。遺憾的是，對(duì)于普通的酒店顧客來(lái)說(shuō)，察覺信息泄漏并非易事，如果他們想要預(yù)訂特定的酒店，選擇的余地非常有限。

盡管《通用數(shù)據(jù)保護(hù)條例》在歐洲已生效約一年，但這個(gè)問(wèn)題存在的事實(shí)表明，這一條例的實(shí)施還沒有完全解決如何應(yīng)對(duì)數(shù)據(jù)泄漏的問(wèn)題。到目前為止，投訴、違反該條例以及數(shù)據(jù)泄露的案件已超過(guò)20萬(wàn)起，用戶的個(gè)人數(shù)據(jù)仍然四面楚歌。（作者：Candid Wueest）