S
ystemy rezerwacji stosowane w witrynach hotelowych, które umożliwiają użytkownikom rezerwację pokoi, mogą potencjalnie wyłudzać dane osobowe, według badacza firmy Symantec – Candid Wueest. W opublikowanym raporcie Wueest przetestował test wielu witryn z liczbą „ponad 1 500 hoteli w 54 krajach” i stwierdził, że 67% tych witryn wysyła zapisane dane do stron internetowych witrynom trzecim, ze względu na sposób tworzenia linków, aby umożliwić użytkownikom przeglądanie lub edycję rezerwacji.
Według raportu 57% wiadomości e-mail z linkiem potwierdzającym zawiera adres URL bezpośredniego dostępu do przeglądania informacji o rezerwacji bez konieczności uwierzytelniania, z czego 29% używa niezabezpieczonych adresów URL, które przekazują zmienne w adresie URL.
Jeśli strona internetowa hotelu korzysta z zasobów zewnętrznych, po załadowaniu tej strony wysyłane są dane strony odsyłającej, powodując wyciek pełnego adresu URL do stron trzecich. Dzięki tym informacjom złośliwi mogą przeglądać szczegóły rezerwacji i dane osobowe – w tym imię i nazwisko, adres, numer telefonu, numer paszportu, typ karty kredytowej, datę ważności i cztery ostatnie cyfry numeru karty – a nawet anulować rezerwację. Dotyczy to szczególnie osób podróżujących w interesach, które mogą mieć skradzione dane z karty firmowej wraz z danymi osobowymi.
Raport zauważa ponadto, że dane osobowe pozostają widoczne, nawet jeśli rezerwacja zostanie anulowana. Co ciekawe, wyszukiwarki hotelowe innych firm „wydają się być nieco bardziej bezpieczne”, a tylko dwie z pięciu stron przetestowały sytuację pod kątem wycieków, a jedna wysyła link logowania bez szyfrowania. Co niepokojące, raport wskazuje również, że numer rezerwacji jest po prostu zwiększany o jeden dla każdej rezerwacji, co umożliwia brutalny dostęp, jeśli adres e-mail jest znany. Wg raportu problem, który Wueest zauważył, że jest powszechny.
Nie jest jasne, na ile faktycznie wpływa to na poszczególne strony internetowe – ze względu na konsolidację w branży hotelarskiej, sieci hotelowe prowadzą różnorodne strony internetowe dla poszczególnych hoteli lub marek, które mają wspólny backend. Wueest zauważa, że z tego powodu „moje badania dla jednego hotelu dotyczą innych hoteli w sieci”, choć nie podaje szczegółowych informacji na temat liczby testowanych pojedynczych stron internetowych.
Ten rodzaj udostępniania danych najwyraźniej stanowiłby naruszenie RODO, a raport zauważył, że niektórzy inspektorzy ochrony danych, z którymi skontaktowano się w trakcie tego dochodzenia przyznali, że wciąż aktualizują swoje systemy, aby były w pełni zgodne z RODO, podczas gdy inni twierdzili, że nie przetwarzają w ogóle danych osobowych i że dane muszą być udostępniane firmom reklamowym, „jak określono w polityce prywatności”.
Biorąc pod uwagę powszechny charakter tego problemu, ochrona danych osobowych przed złymi praktykami postępowania stron trzecich jest trudna. Jeśli Twoja karta kredytowa oferuje potwierdzenie sms operacji, skorzystanie z tej usługi może być pomocne w ochronie twoich informacji finansowych
Z innej beczki… Ostatnio w trakcie audytu w jednym z ogólnopolskich hoteli, zauważyliśmy równie niepokojącą procedurę. Goście podpisywali zgodę na obciążenie karty kredytowej, a na formularzu były spisane wszystkie dane z karty wraz z kodem CVC. Dawno temu, portal Niebezpiecznik, pisał o tym problemie szerzej, ale jak widać niebezpieczne procedury, funkcjonują do dzisiaj. Dla jasności, mając numer karty kredytowej z kodem CVC, mamy komplet informacji by dokonywać zakupów internetowych, wypożyczać samochody, rezerwować pobyty w hotelach itp. Jeśli my sami nie zadbamy o nasze dane, istnieje ogromne ryzyko, że administratorzy informacji na nasz temat nie zrobią nic. Pamiętajmy również, że wystarczy jeden nierzetelny przetwarzający nasze dane i mogą one wyciec na zawsze.
Zobacz, w jaki sposób RODO dotyczy najmłodszych.
A teraz zarejestruj darmową wersję TRIAL i zobacz całą funkcjonalność Programu do RODO.