女：今晚天氣舒適，適宜約會。

男：把會去掉。

女：時間我定，地點你定。

男：XX情趣酒店，主題老樣子。

只不過，當(dāng)代男女為愛鼓掌太難了。既要擔(dān)心酒店各處“埋伏”著針孔攝像頭（請自行在雷鋒網(wǎng)《晾衣機都能出賣你的肉體，我們派AI觀摩了3天黃網(wǎng)》一文中解鎖更多偷拍角度，只有你想不到，沒有變態(tài)做不到），又害怕被偷拍后成為小視頻主角出現(xiàn)在隱蔽網(wǎng)頁被圍觀，甚至現(xiàn)在連開個房都要擔(dān)心數(shù)據(jù)泄露了。

床還沒上，別人已經(jīng)知道你要上了。

到底怎么回事？

據(jù)路透社報道，網(wǎng)絡(luò)安全公司賽門鐵克（Symantec）周三發(fā)布的最新研究顯示，三分之二的酒店網(wǎng)站無意中將客人的預(yù)定信息和個人數(shù)據(jù)泄露給第三方網(wǎng)站，比如廣告公司和分析公司。這些數(shù)據(jù)包括客人的全名、電子郵件地址、郵寄地址、手機號碼、信用卡、卡類型和到期日的最后四位數(shù)字、護照號等。

沒想到吧，開個房隱私數(shù)據(jù)就變成大禮包進了黑產(chǎn)團伙的口袋。

郵件泄露

這些數(shù)據(jù)究竟是如何泄露的？

賽門鐵克的安全研究員 Candid Wueest 表示，他偶然間發(fā)現(xiàn)在預(yù)訂酒店完成后，酒店網(wǎng)站會向客人發(fā)送一封確認(rèn)電子郵件。這個電子郵件包含一個鏈接，允許訪客直接訪問他們的預(yù)訂詳細信息，而無需登錄。

由于電子郵件使用靜態(tài)鏈接，因此預(yù)訂參考代碼和訪客的電子郵件包含在URL本身中。更巧的是許多酒店在同一預(yù)訂概述頁面上加載了諸如廣告的其他內(nèi)容。

Wueest 提到，一些酒店實際上與多達30個不同的第三方共享預(yù)訂參考代碼，包括社交網(wǎng)絡(luò)、搜索引擎、分析和廣告服務(wù)。測試顯示這樣的第三方每次預(yù)訂平均產(chǎn)生176個請求。

“這些第三方的'請求'可能是加載圖像，javascript 或 iframe 等資源。雖然并非所有這些請求都包含預(yù)訂詳細信息，但它們確實提供了酒店直接和間接共享訪客數(shù)據(jù)的廣泛程度?！?/p>

許多情況下，即使客戶取消預(yù)訂，仍可以在酒店網(wǎng)站上獲得預(yù)訂信息，并通過電子郵件鏈接訪問。

Wueest 測試了54個地區(qū)1500多家酒店，其中既包括地方二星級酒店也包括豪華五星級度假村酒店，發(fā)現(xiàn)有三分之二（67％）的酒店網(wǎng)站都存在這種數(shù)據(jù)泄露問題。

雖然廣告商跟蹤用戶的瀏覽習(xí)慣已經(jīng)不是什么秘密，但在這種情況下，共享的信息可以允許這些第三方服務(wù)登錄預(yù)訂查看個人詳細信息，甚至完全取消預(yù)訂讓人瑟瑟發(fā)抖。

除此之外，Wueest 還發(fā)現(xiàn)超過四分之一（29％）的酒店網(wǎng)站沒有加密包含該ID的電子郵件中發(fā)送的初始鏈接。意味著黑客可以攔截點擊電子郵件中的HTTP鏈接的客戶的憑證，查看或修改他/她的預(yù)訂。一個預(yù)訂系統(tǒng)在連接被重定向到HTTPS之前，還會在預(yù)訂過程中將數(shù)據(jù)泄露給服務(wù)器。

但也有些安全意識較強的酒店，比如只在預(yù)訂信息中顯示了數(shù)值和停留日期沒有透露個人信息，或者采取了身份認(rèn)證等安全措施，確保數(shù)據(jù)不會泄露。

當(dāng)然，這樣的酒店占比并不算多。

背后黑手

你的預(yù)訂信息究竟被什么人惦記？

可能是出于報復(fù)心態(tài)的前男/女友，惡意取消了你的預(yù)訂酒店，或者狂熱的追求者通過一系列操作找到你的酒店住處，也可能是酒店競爭對手惡意取消客人訂單，降低酒店評分，而被取消訂單的你只是倒霉蛋，以下省略N種腦洞……

而你被泄露的數(shù)據(jù)可能被賣給需求方，，比如房地產(chǎn)、汽車和金融公司。收集的數(shù)據(jù)集越完整，它就越有價值。

黑客們也可能利用獲取的信息嘗試登錄其他網(wǎng)站，也就是常說的“撞庫”。大部分用戶并不會為不同的網(wǎng)站設(shè)置單獨的密碼，因此登錄成功的可能性很大。犯罪分子通常利用一些自動化工具和海量的肉雞資源展開登錄活動，成功登錄之后進而獲取更有價值的數(shù)據(jù)或者竊取賬號中的虛擬資產(chǎn)，如積分或余額等。

APT團伙們對這些酒店數(shù)據(jù)也很感興趣，特別是針對一些專業(yè)的商務(wù)人士或政府雇員（是不是已經(jīng)腦補出一系列諜戰(zhàn)大片）的監(jiān)視、跟蹤，此時詳細的預(yù)訂信息就是神助攻了。

酒店行業(yè)數(shù)據(jù)泄露已經(jīng)不新鮮了，  

2017年10月全球11個國家的41家凱悅酒店支付系統(tǒng)被黑客入侵，大量數(shù)據(jù)外泄，包括住客支付卡姓名、卡號、到期日期和驗證碼。國內(nèi)共有18家凱悅酒店受到影響，是此次事件中受影響最大、數(shù)量最多的國家；

2018年8月28日早上6點，暗網(wǎng)上出現(xiàn)了華住旗下多個連鎖酒店開房信息數(shù)據(jù)的交易行為，數(shù)據(jù)標(biāo)價8個比特幣，約等于人民幣37.6萬人民幣，數(shù)據(jù)泄露涉及到1.3億人的個人信息及開房記錄。數(shù)據(jù)包含的酒店列表清單如下：漢庭酒店、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等；

2018年11月30日，萬豪酒店集團披露喜達屋數(shù)據(jù)泄露細節(jié)，被泄露數(shù)據(jù)包含在2018年9月10日或之前在喜達屋酒店預(yù)訂的5億名客人信息，約有3.27億人的姓名、郵件、電話、地址、護照號碼、SPG俱樂部賬戶信息、出生日期、性別、開房信息等被泄露。此外還有部分客人的信用卡支付信息被竊取，雖然這些信息已經(jīng)通過高級加密標(biāo)準(zhǔn)（AES-128）加密，解密支付卡號碼需要解鎖兩項密鑰，但無法排除黑客是否已經(jīng)掌握這兩項密鑰。

復(fù)雜的內(nèi)部IT系統(tǒng)和多變的外部威脅形勢是酒店企業(yè)面臨的最大安全威脅，而對預(yù)訂信息不采用安全措施儼然是為攻擊者敞開的窗口。

但受影響酒店對這扇“天窗”不怎么care。

Wueest 聯(lián)系了受影響酒店的數(shù)據(jù)隱私官（DPO）告知他們相關(guān)調(diào)查結(jié)果。25％的DPO在六周內(nèi)沒有回復(fù)，其余酒店平均在10天左右作出了回應(yīng)，表示已經(jīng)開始采取措施保護用戶預(yù)訂數(shù)據(jù)。Wueest 建議預(yù)訂站點使用加密鏈接確保沒有憑據(jù)作為URL參數(shù)泄露。

后記

僅僅只有酒店行業(yè)存在這種問題嗎？并不，Wueest 曾在電子郵件中對外媒 Engadget 表示，他還測試了五個旅游搜索網(wǎng)站，并發(fā)現(xiàn)了類似的安全漏洞。 在過去的幾年里，多家航空公司、度假景點和其他網(wǎng)站也有類似問題被安全研究員指出，通過URL參數(shù)或在referrer字段中無意分享敏感信息似乎在這些網(wǎng)站中很普遍。

恐怕這已經(jīng)成為旅游業(yè)普遍的安全問題。

面臨隱私泄露風(fēng)險的用戶可長點心，預(yù)訂酒店后盡量打開確認(rèn)鏈接的網(wǎng)址，看看自己的預(yù)訂詳情是否被公開了。除此之外，最好不要使用公關(guān)WiFi進行一系列操作。

最后，具有安全漏洞的URL如下所示：https：//booking.the-hotel.tld/retrieve.php？prn = 1234567＆mail = john_smith@myMail.tld

你是否擔(dān)憂自己的預(yù)訂信息被泄露？歡迎到雷鋒網(wǎng)宅客頻道（微信公眾號：letshome）投票。

雷鋒網(wǎng)參考來源：darkreading、engadget

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。