床還沒上，別人已經知道我要上了？

女：今晚天氣舒適，適宜約會。

男：把會去掉。

女：時間我定，地點你定。

男：XX情趣酒店，主題老樣子。

只不過，當代男女為愛鼓掌太難了。既要擔心酒店各處「埋伏」著針孔攝像頭（請自行在雷鋒網《晾衣機都能出賣你的肉體，我們派AI觀摩了3天黃網》一文中解鎖更多偷拍角度，只有你想不到，沒有變態做不到），又害怕被偷拍後成為小視頻主角出現在隱蔽網頁被圍觀，甚至現在連開個房都要擔心數據泄露了。

床還沒上，別人已經知道你要上了。

到底怎麼回事？

據路透社報道，網路安全公司賽門鐵克（Symantec）周三發布的最新研究顯示，三分之二的酒店網站無意中將客人的預定信息和個人數據泄露給第三方網站，比如廣告公司和分析公司。這些數據包括客人的全名、電子郵件地址、郵寄地址、手機號碼、信用卡、卡類型和到期日的最後四位數字、護照號等。

沒想到吧，開個房隱私數據就變成大禮包進了黑產團伙的口袋。

這些數據究竟是如何泄露的？

賽門鐵克的安全研究員 Candid Wueest 表示，他偶然間發現在預訂酒店完成後，酒店網站會向客人發送一封確認電子郵件。這個電子郵件包含一個鏈接，允許訪客直接訪問他們的預訂詳細信息，而無需登錄。

由於電子郵件使用靜態鏈接，因此預訂參考代碼和訪客的電子郵件包含在URL本身中。更巧的是許多酒店在同一預訂概述頁面上載入了諸如廣告的其他內容。

Wueest 提到，一些酒店實際上與多達30個不同的第三方共享預訂參考代碼，包括社交網路、搜索引擎、分析和廣告服務。測試顯示這樣的第三方每次預訂平均產生176個請求。

「這些第三方的"請求"可能是載入圖像，javascript 或 iframe 等資源。雖然並非所有這些請求都包含預訂詳細信息，但它們確實提供了酒店直接和間接共享訪客數據的廣泛程度。」

許多情況下，即使客戶取消預訂，仍可以在酒店網站上獲得預訂信息，並通過電子郵件鏈接訪問。

Wueest 測試了54個地區1500多家酒店，其中既包括地方二星級酒店也包括豪華五星級度假村酒店，發現有三分之二（67％）的酒店網站都存在這種數據泄露問題。

雖然廣告商跟蹤用戶的瀏覽習慣已經不是什麼秘密，但在這種情況下，共享的信息可以允許這些第三方服務登錄預訂查看個人詳細信息，甚至完全取消預訂讓人瑟瑟發抖。

除此之外，Wueest 還發現超過四分之一（29％）的酒店網站沒有加密包含該ID的電子郵件中發送的初始鏈接。意味著黑客可以攔截點擊電子郵件中的HTTP鏈接的客戶的憑證，查看或修改他/她的預訂。一個預訂系統在連接被重定向到HTTPS之前，還會在預訂過程中將數據泄露給伺服器。

但也有些安全意識較強的酒店，比如只在預訂信息中顯示了數值和停留日期沒有透露個人信息，或者採取了身份認證等安全措施，確保數據不會泄露。

當然，這樣的酒店佔比並不算多。

背後黑手

你的預訂信息究竟被什麼人惦記？

可能是出於報復心態的前男/女友，惡意取消了你的預訂酒店，或者狂熱的追求者通過一系列操作找到你的酒店住處，也可能是酒店競爭對手惡意取消客人訂單，降低酒店評分，而被取消訂單的你只是倒霉蛋，以下省略N種腦洞……

而你被泄露的數據可能被賣給需求方，，比如房地產、汽車和金融公司。收集的數據集越完整，它就越有價值。

黑客們也可能利用獲取的信息嘗試登錄其他網站，也就是常說的「撞庫」。大部分用戶並不會為不同的網站設置單獨的密碼，因此登錄成功的可能性很大。犯罪分子通常利用一些自動化工具和海量的肉雞資源展開登錄活動，成功登錄之後進而獲取更有價值的數據或者竊取賬號中的虛擬資產，如積分或餘額等。

APT團伙們對這些酒店數據也很感興趣，特別是針對一些專業的商務人士或政府僱員（是不是已經腦補出一系列諜戰大片）的監視、跟蹤，此時詳細的預訂信息就是神助攻了。

酒店行業數據泄露已經不新鮮了，

2017年10月全球11個國家的41家凱悅酒店支付系統被黑客入侵，大量數據外泄，包括住客支付卡姓名、卡號、到期日期和驗證碼。國內共有18家凱悅酒店受到影響，是此次事件中受影響最大、數量最多的國家；

2018年8月28日早上6點，暗網上出現了華住旗下多個連鎖酒店開房信息數據的交易行為，數據標價8個比特幣，約等於人民幣37.6萬人民幣，數據泄露涉及到1.3億人的個人信息及開房記錄。數據包含的酒店列表清單如下：漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等；

2018年11月30日，萬豪酒店集團披露喜達屋數據泄露細節，被泄露數據包含在2018年9月10日或之前在喜達屋酒店預訂的5億名客人信息，約有3.27億人的姓名、郵件、電話、地址、護照號碼、SPG俱樂部賬戶信息、出生日期、性別、開房信息等被泄露。此外還有部分客人的信用卡支付信息被竊取，雖然這些信息已經通過高級加密標準（AES-128）加密，解密支付卡號碼需要解鎖兩項密鑰，但無法排除黑客是否已經掌握這兩項密鑰。

複雜的內部IT系統和多變的外部威脅形勢是酒店企業面臨的最大安全威脅，而對預訂信息不採用安全措施儼然是為攻擊者敞開的窗口。

但受影響酒店對這扇「天窗」不怎麼care。

Wueest 聯繫了受影響酒店的數據隱私官（DPO）告知他們相關調查結果。25％的DPO在六周內沒有回復，其餘酒店平均在10天左右作出了回應，表示已經開始採取措施保護用戶預訂數據。Wueest 建議預訂站點使用加密鏈接確保沒有憑據作為URL參數泄露。

後記

僅僅只有酒店行業存在這種問題嗎？並不，Wueest 曾在電子郵件中對外媒 Engadget 表示，他還測試了五個旅遊搜索網站，並發現了類似的安全漏洞。 在過去的幾年裡，多家航空公司、度假景點和其他網站也有類似問題被安全研究員指出，通過URL參數或在referrer欄位中無意分享敏感信息似乎在這些網站中很普遍。

恐怕這已經成為旅遊業普遍的安全問題。

面臨隱私泄露風險的用戶可長點心，預訂酒店後盡量打開確認鏈接的網址，看看自己的預訂詳情是否被公開了。除此之外，最好不要使用公關WiFi進行一系列操作。

最後，具有安全漏洞的URL如下所示：https：//booking.the-hotel.tld/retrieve.php？prn = 1234567＆mail = john_smith@myMail.tld

你是否擔憂自己的預訂信息被泄露？歡迎到雷鋒網宅客頻道（微信公眾號：letshome）投票。

雷鋒網參考來源：darkreading、engadget

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！