信息來源：hackernews

是什么導(dǎo)致這些泄漏？

Wueest測試的網(wǎng)站中有超過一半（57％）向客戶發(fā)送確認電子郵件，并提供直接訪問其預(yù)訂的鏈接。這是為了方便客戶而提供的，只需點擊鏈接即可直接進入預(yù)訂，無需登錄。

由于電子郵件需要靜態(tài)鏈接，因此HTTP POST Web請求實際上不是一個選項，這意味著預(yù)訂參考代碼和電子郵件將作為URL本身的參數(shù)傳遞。就其本身而言，這不是問題。但是，許多網(wǎng)站直接在同一網(wǎng)站上加載其他內(nèi)容，例如廣告。這意味著直接訪問可以直接與其他資源共享，也可以通過HTTP請求中的referrer字段間接共享。Wueest的測試表明，每次預(yù)訂平均生成176個請求，但并非所有這些請求都包含預(yù)訂詳細信息。該數(shù)字表示可以非常廣泛地共享預(yù)訂數(shù)據(jù)。

為了演示，Wueest假設(shè)確認電子郵件包含以下格式的鏈接，該鏈接會自動讓W(xué)ueest登錄到他的預(yù)訂概述中：

HTTPS：//booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld

加載的頁面（在此示例中為retrieve.php網(wǎng)站）可以調(diào)用許多遠程資源。為這些外部對象發(fā)出的一些Web請求將直接將完整URL（包括憑據(jù)）作為URL參數(shù)發(fā)送。

以下是分析請求的示例，其中包含完整的原始URL，包括作為參數(shù)的參數(shù)：

https://www.google-analytics.com/collect?v=1&_v=j73&a=438338256&t=pageview&_s=1&dl=https%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail% 3Djohn％5Fsmith％40myMail.tld＆dt

=你的％20booking＆sr = 1920×1080＆vp = 1061×969＆je = 0＆_u = SCEBgAAL~＆jid = 1804692919＆gjid =

1117313061＆cid = 1111866200.1552848010＆tid = UA-000000-2＆_gid = 697872061.1552848010＆gtm = 2wg3b2MMKSS89＆z = 337564139

如上所述，相同的數(shù)據(jù)也在referrer字段中，在大多數(shù)情況下將由瀏覽器發(fā)送。這導(dǎo)致參考代碼與30多個不同的服務(wù)提供商共享，包括眾所周知的社交網(wǎng)絡(luò)，搜索引擎以及廣告和分析服務(wù)。此信息可能允許這些第三方服務(wù)登錄預(yù)訂，查看個人詳細信息，甚至完全取消預(yù)訂。

還有其他情況，預(yù)訂數(shù)據(jù)也可能被泄露。有些網(wǎng)站會在預(yù)訂過程中傳遞信息，而其他網(wǎng)站會在客戶手動登錄網(wǎng)站時泄露信息。其他人生成一個訪問令牌，然后在URL而不是憑據(jù)中傳遞，這也不是好習(xí)慣。

在大多數(shù)情況下，Wueest發(fā)現(xiàn)即使預(yù)訂被取消，預(yù)訂數(shù)據(jù)仍然可見，從而為攻擊者提供了竊取個人信息的機會。

酒店比較網(wǎng)站和預(yù)訂引擎似乎更安全。從Wueest測試的五個服務(wù)中，兩個泄露了憑據(jù)，一個發(fā)送了登錄鏈接而沒有加密。應(yīng)該注意的是，Wueest發(fā)現(xiàn)了一些配置良好的網(wǎng)站，它們首先需要Digest認證，然后在設(shè)置cookie后重定向，確保數(shù)據(jù)不會泄露。

未加密的鏈接

可以認為，由于數(shù)據(jù)僅與網(wǎng)站信任的第三方提供商共享，因此該問題的隱私風(fēng)險較低。然而，令人遺憾的是，Wueest發(fā)現(xiàn)超過四分之一（29％）的酒店網(wǎng)站沒有加密包含該ID的電子郵件中發(fā)送的初始鏈接。因此，潛在的攻擊者可以攔截點擊電子郵件中的HTTP鏈接的客戶的憑證，例如，查看或修改他或她的預(yù)訂。這可能發(fā)生在公共熱點，如機場或酒店，除非用戶使用VPN軟件保護連接。Wueest還觀察到一個預(yù)訂系統(tǒng)在連接被重定向到HTTPS之前，在預(yù)訂過程中將數(shù)據(jù)泄露給服務(wù)器。

不幸的是，這種做法并不是酒店業(yè)獨有的。通過URL參數(shù)或在referrer字段中無意中共享敏感信息在網(wǎng)站中很普遍。在過去的幾年里，Wueest看到過多家航空公司、度假景點和其他網(wǎng)站的類似問題。其他研究人員在2019年2月報告了類似的問題，其中未加密的鏈接被用于多個航空公司服務(wù)提供商。

更多問題

Wueest還發(fā)現(xiàn)，多個網(wǎng)站允許強制執(zhí)行預(yù)訂參考以及枚舉攻擊。在許多情況下，預(yù)訂參考代碼只是從一個預(yù)訂增加到下一個預(yù)訂。這意味著，如果攻擊者知道客戶的電子郵件或姓氏，他們就可以猜出該客戶的預(yù)訂參考號并登錄。強行預(yù)訂號碼是旅游行業(yè)的一個普遍問題，Wueest之前曾在博客中發(fā)表過這樣的信息。

這樣的攻擊可能無法很好地擴展，但是當(dāng)攻擊者考慮到特定目標或目標位置已知時，它確實可以正常工作，例如會議酒店。對于某些網(wǎng)站，后端甚至不需要客戶的電子郵件或姓名 – 所需要的只是有效的預(yù)訂參考代碼。Wueest發(fā)現(xiàn)了這些編碼錯誤的多個例子，這使Wueest不僅可以訪問大型連鎖酒店的所有有效預(yù)訂，還可以查看國際航空公司的每張有效機票。

一個預(yù)訂引擎非常智能，可以為訪客創(chuàng)建一個隨機的PIN碼，以便與預(yù)訂參考號一起使用。不幸的是，登錄沒有綁定到訪問的實際預(yù)訂。因此，攻擊者只需使用自己的有效憑據(jù)登錄并仍可訪問任何預(yù)訂。Wueest沒有看到任何證據(jù)表明后端有任何速率限制可以減緩此類攻擊。

有什么風(fēng)險？

許多人通過在社交媒體網(wǎng)絡(luò)上發(fā)布照片來定期分享他們的旅行細節(jié)。這些人可能不太關(guān)心他們的隱私，實際上可能希望他們的關(guān)注者知道他們的行蹤，但Wuees相當(dāng)肯定如果他們到達他們的酒店并發(fā)現(xiàn)他們的預(yù)訂已被取消后，他們會更加注意。攻擊者可能會因為娛樂或個人報復(fù)而決定取消預(yù)訂，但也可能損害酒店的聲譽，作為勒索計劃的一部分或作為競爭對手的破壞行為。

酒店業(yè)也存在相當(dāng)多的數(shù)據(jù)泄露，以及數(shù)據(jù)配置不當(dāng)?shù)脑茢?shù)據(jù)的數(shù)據(jù)泄露。然后，這些信息可以在暗網(wǎng)上出售或用于進行身份欺詐。收集的數(shù)據(jù)集越完整，它就越有價值。

詐騙者還可以使用以這種方式收集的數(shù)據(jù)來發(fā)送令人信服的個性化垃圾郵件或執(zhí)行其他社交工程攻擊。提供個人信息可以提高勒索郵件的可信度，就像那些聲稱你被黑客攻擊的郵件一樣。

此外，有針對性的攻擊團體也可能對商業(yè)專業(yè)人士和政府雇員的行程感興趣。例如DarkHotel/Armyworm, OceanLotus/Destroyer, Swallowtail及Whitefly等APT團伙。這些群體對這一領(lǐng)域感興趣的原因有很多，包括一般監(jiān)視目的，跟蹤目標的動作、識別隨行人員，或者找出某人在特定地點停留多久。它還可以允許物理訪問目標的位置。

解決問題

根據(jù)GDPR，歐盟個人的個人數(shù)據(jù)必須根據(jù)這些問題得到更好的保護。然而，受影響酒店對Wueest的調(diào)查結(jié)果的回應(yīng)令人失望。

Wueest聯(lián)系了受影響酒店的數(shù)據(jù)隱私官（DPO）并告知他們相關(guān)調(diào)查結(jié)果。令人驚訝的是，25％的DPO在六周內(nèi)沒有回復(fù)。一封電子郵件被退回，因為隱私政策中的電子郵件地址不再有效。在做出回應(yīng)的人中，他們平均花了10天回應(yīng)。做出回應(yīng)的人主要確認收到他的詢問，并承諾調(diào)查該問題并實施任何必要的變更。一些人認為，根本不是個人數(shù)據(jù)，而且必須與隱私政策中所述的廣告公司共享數(shù)據(jù)。一些人承認他們?nèi)栽诟滤麄兊南到y(tǒng)以完全符合GDPR標準。其他使用外部服務(wù)進行預(yù)訂系統(tǒng)的酒店開始擔(dān)心服務(wù)提供商畢竟不符合GDPR標準。

預(yù)訂站點應(yīng)使用加密鏈接并確保沒有憑據(jù)作為URL參數(shù)泄露?？蛻艨梢詸z查鏈接是否已加密，或者個人數(shù)據(jù)（如電子郵件地址）是否作為URL中的可見數(shù)據(jù)傳遞。他們還可以使用VPN服務(wù)來最大限度地減少他們在公共熱點上的曝光率。不幸的是，對于普通的酒店客人來說，發(fā)現(xiàn)這樣的泄漏可能不是一件容易的事，如果他們想要預(yù)訂特定的酒店，他們可能沒有多少選擇。

盡管GDPR大約一年前在歐洲生效，但這個問題存在的事實表明，GDPR的實施還沒有完全解決組織如何應(yīng)對數(shù)據(jù)泄漏問題。到目前為止，已經(jīng)報告了超過20萬起GDPR投訴和數(shù)據(jù)泄露案件，用戶的個人數(shù)據(jù)仍然存在風(fēng)險。