床还没上,别人已经知道我要上了?
女:今晚天气舒适,适宜约会。
男:把会去掉。
女:时间我定,地点你定。
男:XX情趣酒店,主题老样子。
只不过,当代男女为爱鼓掌太难了。既要担心酒店各处“埋伏”着针孔摄像头(请自行在《晾衣机都能出卖你的肉体,我们派AI观摩了3天黄网》一文中解锁更多偷拍角度,只有你想不到,没有变态做不到),又害怕被偷拍后成为小视频主角出现在隐蔽网页被围观,甚至现在连开个房都要担心数据泄露了。
床还没上,别人已经知道你要上了。
到底怎么回事?
据路透社报道,网络安全公司赛门铁克(Symantec)周三发布的最新研究显示,三分之二的酒店网站无意中将客人的预定信息和个人数据泄露给第三方网站,比如广告公司和分析公司。这些数据包括客人的全名、电子邮件地址、邮寄地址、手机号码、信用卡、卡类型和到期日的最后四位数字、护照号等。
没想到吧,开个房隐私数据就变成大礼包进了黑产团伙的口袋。
邮件泄露
这些数据究竟是如何泄露的?
赛门铁克的安全研究员 Candid Wueest表示,他偶然间发现在预订酒店完成后,酒店网站会向客人发送一封确认电子邮件。这个电子邮件包含一个链接,允许访客直接访问他们的预订详细信息,而无需登录。
由于电子邮件使用静态链接,因此预订参考代码和访客的电子邮件包含在URL本身中。更巧的是许多酒店在同一预订概述页面上加载了诸如广告的其他内容。
Wueest提到,一些酒店实际上与多达30个不同的第三方共享预订参考代码,包括社交网络、搜索引擎、分析和广告服务。测试显示这样的第三方每次预订平均产生176个请求。
“这些第三方的'请求'可能是加载图像,javascript 或 iframe等资源。虽然并非所有这些请求都包含预订详细信息,但它们确实提供了酒店直接和间接共享访客数据的广泛程度。”
许多情况下,即使客户取消预订,仍可以在酒店网站上获得预订信息,并通过电子邮件链接访问。
Wueest测试了54个地区1500多家酒店,其中既包括地方二星级酒店也包括豪华五星级度假村酒店,发现有三分之二(67%)的酒店网站都存在这种数据泄露问题。
虽然广告商跟踪用户的浏览习惯已经不是什么秘密,但在这种情况下,共享的信息可以允许这些第三方服务登录预订查看个人详细信息,甚至完全取消预订让人瑟瑟发抖。
除此之外,Wueest 还发现超过四分之一(29%)的酒店网站没有加密包含该ID的电子邮件中发送的初始链接。意味着黑客可以拦截点击电子邮件中的HTTP链接的客户的凭证,查看或修改他/她的预订。一个预订系统在连接被重定向到HTTPS之前,还会在预订过程中将数据泄露给服务器。
但也有些安全意识较强的酒店,比如只在预订信息中显示了数值和停留日期没有透露个人信息,或者采取了身份认证等安全措施,确保数据不会泄露。
当然,这样的酒店占比并不算多。
背后黑手
你的预订信息究竟被什么人惦记?
可能是出于报复心态的前男/女友,恶意取消了你的预订酒店,或者狂热的追求者通过一系列操作找到你的酒店住处,也可能是酒店竞争对手恶意取消客人订单,降低酒店评分,而被取消订单的你只是倒霉蛋,以下省略N种脑洞……
而你被泄露的数据可能被卖给需求方,,比如房地产、汽车和金融公司。收集的数据集越完整,它就越有价值。
黑客们也可能利用获取的信息尝试登录其他网站,也就是常说的“撞库”。大部分用户并不会为不同的网站设置单独的密码,因此登录成功的可能性很大。犯罪分子通常利用一些自动化工具和海量的肉鸡资源展开登录活动,成功登录之后进而获取更有价值的数据或者窃取账号中的虚拟资产,如积分或余额等。
APT团伙们对这些酒店数据也很感兴趣,特别是针对一些专业的商务人士或政府雇员(是不是已经脑补出一系列谍战大片)的监视、跟踪,此时详细的预订信息就是神助攻了。
酒店行业数据泄露已经不新鲜了,
2017年10月全球11个国家的41家凯悦酒店支付系统被黑客入侵,大量数据外泄,包括住客支付卡姓名、卡号、到期日期和验证码。国内共有18家凯悦酒店受到影响,是此次事件中受影响最大、数量最多的国家;
2018年8月28日早上6点,暗网上出现了华住旗下多个连锁酒店开房信息数据的交易行为,数据标价8个比特币,约等于人民币37.6万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录。数据包含的酒店列表清单如下:汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等;
2018年11月30日,万豪酒店集团披露喜达屋数据泄露细节,被泄露数据包含在2018年9月10日或之前在喜达屋酒店预订的5亿名客人信息,约有3.27亿人的姓名、邮件、电话、地址、护照号码、SPG俱乐部账户信息、出生日期、性别、开房信息等被泄露。此外还有部分客人的信用卡支付信息被窃取,虽然这些信息已经通过高级加密标准(AES-128)加密,解密支付卡号码需要解锁两项密钥,但无法排除黑客是否已经掌握这两项密钥。
复杂的内部IT系统和多变的外部威胁形势是酒店企业面临的最大安全威胁,而对预订信息不采用安全措施俨然是为攻击者敞开的窗口。
但受影响酒店对这扇“天窗”不怎么care。
Wueest联系了受影响酒店的数据隐私官(DPO)告知他们相关调查结果。25%的DPO在六周内没有回复,其余酒店平均在10天左右作出了回应,表示已经开始采取措施保护用户预订数据。Wueest建议预订站点使用加密链接确保没有凭据作为URL参数泄露。
后记
仅仅只有酒店行业存在这种问题吗?并不,Wueest 曾在电子邮件中对外媒 Engadget 表示,他还测试了五个旅游搜索网站,并发现了类似的安全漏洞。在过去的几年里,多家航空公司、度假景点和其他网站也有类似问题被安全研究员指出,通过URL参数或在referrer字段中无意分享敏感信息似乎在这些网站中很普遍。
恐怕这已经成为旅游业普遍的安全问题。
面临隐私泄露风险的用户可长点心,预订酒店后尽量打开确认链接的网址,看看自己的预订详情是否被公开了。除此之外,最好不要使用公关WiFi进行一系列操作。
最后,具有安全漏洞的URL如下所示:https://booking.the-hotel.tld/retrieve.php?prn =1234567&mail = john_smith@myMail.tld
你是否担忧自己的预订信息被泄露?欢迎到宅客频道(微信公众号:letshome)投票。
参考来源:darkreading、engadget
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统 Windows10 x64 企业TLSB版2022年7月一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10新雨林木风 Windows10 x86 专业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活系统,无
相关文章
- PHP在安全方面的另类应用
- 送出670万美元 谷歌漏洞奖励计划公布
- 360路由器怎么定时重启 360安全路由定时重启设置图文教程
- Windows 8 Modern Apps 网络隔离如何解除?
- CMD提示“telnet不是内部或外部命令”怎么办
- 探寻互联网隐秘的角落:暗网监控
- 微软承认曾向包含恶意的Netfilter rootkit内核驱动程序提供签名
- win7系统如何使用DOS命令查看网络连接状况
- 深入分析 网吧网络常见问题与解决方案
- 隐私问题是否扼杀了安全及相关市场的创新?
- 如何关闭edge浏览器地址栏自动弹出的历史记录
- win7桌面ie图标删不掉怎么办?具体方法步骤
- 解密:阿里巴巴公司根据截图查到泄露信息的员工的技术是?
- 偷梁换柱:攻击者将万事达信用卡转换成Visa卡来盗取资金
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1电脑公司Ghost Win8.1 X64位 纯净版2020年11月(自动激活) ISO镜像快速下载
- 2电脑公司 装机专用系统Windows10 x86企业版2020年8月(32位) ISO镜像快速下载
- 3笔记本系统Ghost Win8.1 (X64) 新春特别 全新纯净版2022年2月(永久激活) 提供下载
- 4新萝卜家园 Ghost XP SP3系统 电脑城极速纯净版 2021年6月 ISO镜像高速下载
- 5大地系统Ghost Win8.1 X32 经典纯净版2018年5月(永久激活) ISO镜像免费下载
- 6番茄花园 Windows 10 极速企业版 版本1903 2022年3月(32位) ISO镜像快速下载
- 7电脑公司Ghost Win8.1 X64位 新春特别 纯净版2022年2月(自动激活) ISO镜像快速下载
- 8电脑公司Ghost Win8.1 x32 精选纯净版2019年12月(免激活) ISO镜像高速下载
- 9雨林木风Ghost Win8.1 (X64) 极速纯净版2020年3月免激活) ISO镜像高速下载
- 10电脑公司Ghost Win7 Sp1 元旦特别 装机万能版2020年1月(32位) 提供下载