赛门铁克公司的最新研究发现,每三家酒店网站中就有两家将客人预订详细信息泄露给第三方网站。
该研究调查了54个国家/地区的1,500多家酒店网站,涵盖了各种酒店类型,发现酒店网站以多种方式泄露数据,包括通过第三方广告商,社交媒体网站,数据聚合商和其他合作伙伴。
定期泄露的数据包括全名,地址,手机号码,护照号码以及信用卡号码的最后四位数字。
泄露数据的方式通常是直接的。
通过向客人发送包括预订代码和客人电子邮件地址在内的预订确认书,发现约有57%的酒店信息泄漏。
“这是为了方便客户而提供的,只需点击链接即可直接进入预订状态而无需登录,”报告指出。
出现的问题是,当客人点击链接时,酒店在其网站上使用的任何第三方广告或服务提供商都可以访问预订号码和访客的电子邮件地址。
更糟糕的是,获得直接访问URL后,任何拥有它的人也可以访问访客的个人信息,而无需登录。
研究发现第三方平均每次预订产生176个请求,有多达30个不同的公司获取信息,因此有多少第三方收到这些信息。
除了预订确认所带来的风险外,大约30%的酒店网站被发现不会加密他们在预订确认电子邮件中发送的链接,从而为攻击者提供了可能拦截链接和查看甚至更改特定预订的方式。
The Media Trust的首席执行官克里斯·奥尔森告诉SiliconANGLE,大多数网站所有者和运营商实际上并不知道他们的网站是如何运作的,以及谁在为他们工作。
“任何运行在其上的代码的50%到95%都在公司的IT基础设施之外执行,因为它们来自第三方,”Olson解释说。“消费者输入个人信息和支付信息的大多数网页都是由第三方运营的,第三方拥有自己的代理商执行代码。”
他补充说,这些网站大多数都有超过100个直接和间接的第三方,而且这些第三方中的大多数都不为网站所有者所知。“如果您不知道自己在网站上与谁做生意,则无法控制他们对您网站用户的操作以及这些用户的敏感信息。”
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。