Исследователи в области безопасности обнаружили, что сотни сайтов отелей утекли сведения о бронировании третьим лицам и рекламодателям.

Исследователи утверждают, что электронные письма с подтверждением и бронированием из отелей передают вашу информацию третьим лицам и рекламодателям.

Анжела Ланг / CNET

Когда ваш отель автоматически отправляет вам информацию о бронировании по электронной почте, есть большая вероятность, что вы не единственный человек, имеющий доступ к этим документам.

Охранная компания Symantec обнаружила недостатки на сотнях гостиничных веб-сайтов, которые передавали конфиденциальную информацию, такую ​​как имена, номера телефонов, номера паспортов и адреса в электронных письмах с подтверждением.

Кандид Вьюест, исследователь угроз в Symantec, сказал, что он просмотрел более 1500 сайтов отелей в 54 странах и нашел проблемы среди двух третей из них.

Отели являются основной целью для кибератак, так как они хранят сокровища данных о гостях во время курортного сезона. За последние несколько лет их часто взламывают, как показывают кибератаки в отелях Sheraton, Westin, Starwood, Marriott и Wyndham. В ноябре прошлого года Marriott сообщил, что хакеры украли записи у 383 миллионов гостей в результате одного из крупнейших нарушений персональных данных в истории.

У отелей есть рассадник данных, и их сайты просачиваются из этой информации, сказал Уист. Одна из основных проблем связана с URL-адресом, который они отправляют гостям по электронной почте. Около 850 веб-сайтов отелей не требуют аутентификации для просмотра этих данных, что позволяет любому пользователю, имеющему ссылку, просматривать вашу личную информацию. Wueest обнаружил, что почти треть этих страниц имеет номер бронирования в самом URL.

Если бы гость был единственным человеком, который мог просматривать этот URL, это не было бы большой проблемой, но на этих сайтах были размещены рекламодатели и сторонние аналитические инструменты.

Исследователи обнаружили, что эти третьи стороны тоже получают этот URL, и потенциальный злоумышленник может собирать эту информацию в злонамеренных целях. Wueest сказал, что он обнаружил, что запрос Google Analytics для страницы подтверждения бронирования отеля содержит URL с номером бронирования на виду.

Все, что нужно сделать злоумышленнику. это ввести номер бронирования и узнать всю важную информацию, связанную с ним.

Также было обнаружено, что несколько сайтов отелей уязвимы для грубого принуждения, когда злоумышленник угадывает любую возможную комбинацию для номера бронирования. Благодаря компьютерным достижениям, сегодня машина может угадать каждую возможную комбинацию восьмисимвольного пароля менее чем за три часа. Чтобы предотвратить это, веб-сайты обычно ограничивают количество предположений, которые кто-либо может сделать.

Вьюст сказал, что с одним веб-сайтом отеля он смог грубо взломать свой путь и просмотреть все активные бронирования для компании.

Он сказал, что обратился ко всем отелям с этими проблемами безопасности, и четверть из них игнорировали его предупреждения в течение более шести недель. Wueest рекомендовал, чтобы отели прекратили включать информацию о бронировании в URL и начали применять меры аутентификации на страницах подтверждения.

Все, что Apple объявила: что мы знаем о телевизионном контенте и услугах Apple, кредитных картах, услугах подписки на игры и многом другом.

Служба потокового вещания Apple TV Channel доступна здесь: будьте готовы к другому способу просмотра своих шоу в уже многолюдной битве за ваши просмотры.