{"id":1211,"date":"2020-02-17T10:13:05","date_gmt":"2020-02-17T09:13:05","guid":{"rendered":"https:\/\/blog.kryptos72.com\/?p=1211"},"modified":"2020-09-08T07:51:54","modified_gmt":"2020-09-08T05:51:54","slug":"linki-potwierdzajace-rezerwacje-wysylane-do-stron-trzecich","status":"publish","type":"post","link":"https:\/\/kryptos72.com\/blog\/linki-potwierdzajace-rezerwacje-wysylane-do-stron-trzecich\/","title":{"rendered":"Linki potwierdzaj\u0105ce rezerwacj\u0119 hotelu mog\u0105 przenosi\u0107 dane osobowe"},"content":{"rendered":"

S<\/span><\/p>\n

ystemy rezerwacji stosowane w witrynach hotelowych, kt\u00f3re umo\u017cliwiaj\u0105 u\u017cytkownikom rezerwacj\u0119 pokoi<\/strong>, mog\u0105 potencjalnie wy\u0142udza\u0107 dane osobowe, wed\u0142ug badacza firmy Symantec – Candid Wueest. W opublikowanym raporcie Wueest przetestowa\u0142 test wielu witryn z liczb\u0105 \u201eponad 1 500 hoteli w 54 krajach\u201d<\/strong> i stwierdzi\u0142, \u017ce 67% tych witryn wysy\u0142a zapisane dane do stron internetowych witrynom trzecim, ze wzgl\u0119du na spos\u00f3b tworzenia link\u00f3w, aby umo\u017cliwi\u0107 u\u017cytkownikom przegl\u0105danie lub edycj\u0119 rezerwacji.<\/strong><\/p>\n

Wed\u0142ug raportu 57% wiadomo\u015bci e-mail z linkiem potwierdzaj\u0105cym<\/strong> zawiera adres URL bezpo\u015bredniego dost\u0119pu do przegl\u0105dania informacji o rezerwacji bez konieczno\u015bci uwierzytelniania, z czego 29% u\u017cywa niezabezpieczonych adres\u00f3w URL, kt\u00f3re przekazuj\u0105 zmienne w adresie URL.<\/strong><\/p>\n

Je\u015bli strona internetowa hotelu korzysta z zasob\u00f3w zewn\u0119trznych, po za\u0142adowaniu tej strony wysy\u0142ane s\u0105 dane strony odsy\u0142aj\u0105cej, powoduj\u0105c wyciek pe\u0142nego adresu URL do stron trzecich. Dzi\u0119ki tym informacjom z\u0142o\u015bliwi<\/strong> mog\u0105 przegl\u0105da\u0107 szczeg\u00f3\u0142y rezerwacji i dane osobowe – w tym imi\u0119 i nazwisko, adres, numer telefonu, numer paszportu, typ karty kredytowej, dat\u0119 wa\u017cno\u015bci i cztery ostatnie cyfry numeru karty – a nawet anulowa\u0107 rezerwacj\u0119. Dotyczy to szczeg\u00f3lnie os\u00f3b podr\u00f3\u017cuj\u0105cych w interesach, kt\u00f3re mog\u0105 mie\u0107 skradzione dane z karty firmowej wraz z danymi osobowymi.<\/strong><\/p>\n

Raport zauwa\u017ca ponadto, \u017ce dane osobowe pozostaj\u0105 widoczne, nawet je\u015bli rezerwacja zostanie anulowana. Co ciekawe, wyszukiwarki hotelowe innych firm \u201ewydaj\u0105 si\u0119 by\u0107 nieco bardziej bezpieczne\u201d, a tylko dwie z pi\u0119ciu stron przetestowa\u0142y sytuacj\u0119 pod k\u0105tem wyciek\u00f3w<\/strong>, a jedna wysy\u0142a link logowania bez szyfrowania. Co niepokoj\u0105ce, raport wskazuje r\u00f3wnie\u017c, \u017ce numer rezerwacji jest po prostu zwi\u0119kszany o jeden dla ka\u017cdej rezerwacji, co umo\u017cliwia brutalny dost\u0119p, je\u015bli adres e-mail jest znany. <\/strong>Wg raportu problem, kt\u00f3ry Wueest zauwa\u017cy\u0142, \u017ce jest powszechny.<\/p>\n

Nie jest jasne<\/strong>, na ile faktycznie wp\u0142ywa to na poszczeg\u00f3lne strony internetowe – ze wzgl\u0119du na konsolidacj\u0119 w bran\u017cy hotelarskiej, sieci hotelowe prowadz\u0105 r\u00f3\u017cnorodne strony internetowe dla poszczeg\u00f3lnych hoteli lub marek<\/strong>, kt\u00f3re maj\u0105 wsp\u00f3lny backend. Wueest zauwa\u017ca, \u017ce z tego powodu \u201emoje badania dla jednego hotelu dotycz\u0105 innych hoteli w sieci\u201d, cho\u0107 nie podaje szczeg\u00f3\u0142owych informacji na temat liczby testowanych pojedynczych stron internetowych.<\/strong><\/p>\n

Ten rodzaj udost\u0119pniania danych najwyra\u017aniej stanowi\u0142by naruszenie RODO<\/strong>, a raport zauwa\u017cy\u0142, \u017ce niekt\u00f3rzy inspektorzy ochrony danych, z kt\u00f3rymi skontaktowano si\u0119 w trakcie tego dochodzenia przyznali, \u017ce wci\u0105\u017c aktualizuj\u0105 swoje systemy, aby by\u0142y w pe\u0142ni zgodne z RODO<\/strong>, podczas gdy inni twierdzili, \u017ce nie przetwarzaj\u0105 w og\u00f3le danych osobowych i \u017ce dane musz\u0105 by\u0107 udost\u0119pniane firmom reklamowym, „jak okre\u015blono w polityce prywatno\u015bci”.
\n<\/strong><\/p>\n

Bior\u0105c pod uwag\u0119 powszechny charakter tego problemu<\/strong>, ochrona danych osobowych przed z\u0142ymi praktykami post\u0119powania stron trzecich jest trudna. Je\u015bli Twoja karta kredytowa oferuje potwierdzenie sms operacji, skorzystanie z tej us\u0142ugi mo\u017ce by\u0107 pomocne w ochronie twoich informacji finansowych<\/strong><\/p>\n

Z innej beczki… Ostatnio w trakcie audytu w jednym z og\u00f3lnopolskich hoteli, zauwa\u017cyli\u015bmy r\u00f3wnie niepokoj\u0105c\u0105 procedur\u0119. Go\u015bcie podpisywali zgod\u0119 na obci\u0105\u017cenie karty kredytowej, a na formularzu by\u0142y spisane wszystkie dane z karty wraz z kodem CVC. Dawno temu, portal Niebezpiecznik, pisa\u0142 o tym problemie szerzej, ale jak wida\u0107 niebezpieczne procedury, funkcjonuj\u0105 do dzisiaj. Dla jasno\u015bci, maj\u0105c numer karty kredytowej z kodem CVC, mamy komplet informacji by dokonywa\u0107 zakup\u00f3w internetowych, wypo\u017cycza\u0107 samochody, rezerwowa\u0107 pobyty w hotelach itp. Je\u015bli my sami nie zadbamy o nasze dane, istnieje ogromne ryzyko, \u017ce administratorzy informacji na nasz temat nie zrobi\u0105 nic. Pami\u0119tajmy r\u00f3wnie\u017c, \u017ce wystarczy jeden nierzetelny przetwarzaj\u0105cy nasze dane i mog\u0105 one wyciec na zawsze.<\/p>\n

Zobacz, w jaki spos\u00f3b RODO dotyczy najm\u0142odszych<\/a>.<\/p>\n

A teraz zarejestruj darmow\u0105 wersj\u0119 TRIAL<\/a> i zobacz ca\u0142\u0105 funkcjonalno\u015b\u0107 Programu do RODO.<\/p>\n","protected":false},"excerpt":{"rendered":"

S ystemy rezerwacji stosowane w witrynach hotelowych, kt\u00f3re umo\u017cliwiaj\u0105 u\u017cytkownikom rezerwacj\u0119 pokoi, mog\u0105 potencjalnie wy\u0142udza\u0107 dane osobowe, wed\u0142ug badacza firmy Symantec – Candid Wueest. W opublikowanym raporcie Wueest przetestowa\u0142 test wielu witryn z liczb\u0105 \u201eponad 1 500 hoteli w 54 krajach\u201d i stwierdzi\u0142, \u017ce 67% tych witryn wysy\u0142a zapisane dane do stron internetowych witrynom trzecim, […]<\/p>\n","protected":false},"author":1,"featured_media":1216,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[46],"tags":[1900,1899,1901,1902],"yst_prominent_words":[268,298,1904,222,220,1894,138,1896,1903,1905,1256,534,1890,132,1891,1888,394,1889,1893,1892],"_links":{"self":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts\/1211"}],"collection":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/comments?post=1211"}],"version-history":[{"count":6,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts\/1211\/revisions"}],"predecessor-version":[{"id":1460,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts\/1211\/revisions\/1460"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/media\/1216"}],"wp:attachment":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/media?parent=1211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/categories?post=1211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/tags?post=1211"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/yst_prominent_words?post=1211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}