信息化觀察網(wǎng)

網(wǎng)絡安全公司Symantec近日發(fā)表研究報告，發(fā)現(xiàn)有67％酒店網(wǎng)站會無意中將客戶的訂房代碼分享給第三方廣告商或分析工具公司。研究測試共向54個國家/地區(qū)的1,500多家酒店網(wǎng)站進行。雖然每個酒店網(wǎng)站都有列明私隱政策，但他們都沒有明確提及這種行為。

廣告商追蹤用戶的瀏覽習慣已經(jīng)不是什么秘密，但在今次事件上，無意中分享的資料卻包含了可以讓這些第三方廣告商登錄預訂服務，查看用戶個人資料，甚至取消預訂。取得訂房代碼的第三方，將可以存取各種旅客的資訊，例如旅客全名、電郵地址、居住地址、手機號碼、信用卡后四個號碼、信用卡種類、信用卡到期日、護照號碼等重要資訊。

網(wǎng)站測試的范圍從二星到五星酒店，有些酒店隸屬于全球級連鎖酒店旗下。其中超過57%的酒店在訂房后會將附有酒店網(wǎng)站連結(jié)的電郵回復客戶，目的是為了方便客戶直接登入預訂系統(tǒng)，但連接網(wǎng)址中就包含有訂房編號和個人電郵等的資訊（如下圖字串）。當旅客點擊連結(jié)開啟網(wǎng)頁時，會同時將完整的URL (包括憑證) 發(fā)出連線要求去開啟各種第三方內(nèi)容，例如社群分享工具、搜索引擎、廣告或分析服務等等，這些第三方服務商往往可以藉此取得傳輸?shù)馁Y訊內(nèi)容。

雖然數(shù)據(jù)只會與酒店信任的第三方服務商共享，相對的隱私風險會較低。然而，如果電郵內(nèi)的連接沒有加密（http），用戶的個人數(shù)據(jù)仍然存在風險。攻擊者可以攔截網(wǎng)絡流量，收集電郵中連結(jié)內(nèi)的客戶憑證?？蛻魬獧z查網(wǎng)站連結(jié)是否加密或URL的字串中是否可以直接讀取個人資料，如電郵地址。此外，我們亦應避免使用公共網(wǎng)絡訪問這種連結(jié)。