安全動態(tài)

賽門鐵克:三分之二的酒店網(wǎng)站泄露客人預(yù)訂詳情并允許訪問個人數(shù)據(jù)

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-04-12    瀏覽次數(shù):
 

信息來源:hackernews

賽門鐵克首席安全研究人員Candid Wueest近日發(fā)文稱,酒店網(wǎng)站可能會泄露客人的預(yù)訂詳情,允許其他人查看客人的個人數(shù)據(jù),甚至取消他們的預(yù)訂。在最近研究酒店網(wǎng)站上可能發(fā)生的劫持攻擊時,Wueest偶然發(fā)現(xiàn)了一個可能泄露客人個人數(shù)據(jù)的問題。

Wueest測試了多個網(wǎng)站 – 包括54個國家/地區(qū)的1500多家酒店 – 以確定這個隱私問題的常見程度。我發(fā)現(xiàn)這些網(wǎng)站中有三分之二(67%)無意中將預(yù)訂參考代碼泄露給第三方網(wǎng)站,如廣告客戶和分析公司。他們都有隱私政策,但他們都沒有明確提到這種行為。

雖然廣告商跟蹤用戶的瀏覽習(xí)慣已經(jīng)不是什么秘密,但在這種情況下,共享的信息可以允許這些第三方服務(wù)登錄預(yù)訂,查看個人詳細信息,甚至完全取消預(yù)訂。自從《通用數(shù)據(jù)保護條例》(GDPR)在歐洲生效以來已近一年了,但受此問題影響的許多酒店的遵守法規(guī)的速度非常緩慢。

Wueest測試過的網(wǎng)站從鄉(xiāng)村的二星級酒店到海灘上的豪華五星級度假村酒店網(wǎng)站。一些預(yù)訂系統(tǒng)值得稱贊,因為它們只顯示了數(shù)值和停留日期,并沒有透露任何個人信息。但大多數(shù)網(wǎng)站泄露了個人數(shù)據(jù),例如:

全名

電子郵件地址

郵寄地址

手機號碼

信用卡、卡類型和到期日的最后四位數(shù)字

護照號

3492cae45b37f82

是什么導(dǎo)致這些泄漏?

Wueest測試的網(wǎng)站中有超過一半(57%)向客戶發(fā)送確認電子郵件,并提供直接訪問其預(yù)訂的鏈接。這是為了方便客戶而提供的,只需點擊鏈接即可直接進入預(yù)訂,無需登錄。

由于電子郵件需要靜態(tài)鏈接,因此HTTP POST Web請求實際上不是一個選項,這意味著預(yù)訂參考代碼和電子郵件將作為URL本身的參數(shù)傳遞。就其本身而言,這不是問題。但是,許多網(wǎng)站直接在同一網(wǎng)站上加載其他內(nèi)容,例如廣告。這意味著直接訪問可以直接與其他資源共享,也可以通過HTTP請求中的referrer字段間接共享。Wueest的測試表明,每次預(yù)訂平均生成176個請求,但并非所有這些請求都包含預(yù)訂詳細信息。該數(shù)字表示可以非常廣泛地共享預(yù)訂數(shù)據(jù)。

為了演示,Wueest假設(shè)確認電子郵件包含以下格式的鏈接,該鏈接會自動讓W(xué)ueest登錄到他的預(yù)訂概述中:

HTTPS://booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld

加載的頁面(在此示例中為retrieve.php網(wǎng)站)可以調(diào)用許多遠程資源。為這些外部對象發(fā)出的一些Web請求將直接將完整URL(包括憑據(jù))作為URL參數(shù)發(fā)送。

以下是分析請求的示例,其中包含完整的原始URL,包括作為參數(shù)的參數(shù):

https://www.google-analytics.com/collect?v=1&_v=j73&a=438338256&t=pageview&_s=1&dl=https%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail% 3Djohn%5Fsmith%40myMail.tld&dt

=你的%20booking&sr = 1920×1080&vp = 1061×969&je = 0&_u = SCEBgAAL~&jid = 1804692919&gjid =

1117313061&cid = 1111866200.1552848010&tid = UA-000000-2&_gid = 697872061.1552848010&gtm = 2wg3b2MMKSS89&z = 337564139

如上所述,相同的數(shù)據(jù)也在referrer字段中,在大多數(shù)情況下將由瀏覽器發(fā)送。這導(dǎo)致參考代碼與30多個不同的服務(wù)提供商共享,包括眾所周知的社交網(wǎng)絡(luò),搜索引擎以及廣告和分析服務(wù)。此信息可能允許這些第三方服務(wù)登錄預(yù)訂,查看個人詳細信息,甚至完全取消預(yù)訂。

還有其他情況,預(yù)訂數(shù)據(jù)也可能被泄露。有些網(wǎng)站會在預(yù)訂過程中傳遞信息,而其他網(wǎng)站會在客戶手動登錄網(wǎng)站時泄露信息。其他人生成一個訪問令牌,然后在URL而不是憑據(jù)中傳遞,這也不是好習(xí)慣。

在大多數(shù)情況下,Wueest發(fā)現(xiàn)即使預(yù)訂被取消,預(yù)訂數(shù)據(jù)仍然可見,從而為攻擊者提供了竊取個人信息的機會。

酒店比較網(wǎng)站和預(yù)訂引擎似乎更安全。從Wueest測試的五個服務(wù)中,兩個泄露了憑據(jù),一個發(fā)送了登錄鏈接而沒有加密。應(yīng)該注意的是,Wueest發(fā)現(xiàn)了一些配置良好的網(wǎng)站,它們首先需要Digest認證,然后在設(shè)置cookie后重定向,確保數(shù)據(jù)不會泄露。

未加密的鏈接

可以認為,由于數(shù)據(jù)僅與網(wǎng)站信任的第三方提供商共享,因此該問題的隱私風(fēng)險較低。然而,令人遺憾的是,Wueest發(fā)現(xiàn)超過四分之一(29%)的酒店網(wǎng)站沒有加密包含該ID的電子郵件中發(fā)送的初始鏈接。因此,潛在的攻擊者可以攔截點擊電子郵件中的HTTP鏈接的客戶的憑證,例如,查看或修改他或她的預(yù)訂。這可能發(fā)生在公共熱點,如機場或酒店,除非用戶使用VPN軟件保護連接。Wueest還觀察到一個預(yù)訂系統(tǒng)在連接被重定向到HTTPS之前,在預(yù)訂過程中將數(shù)據(jù)泄露給服務(wù)器。

不幸的是,這種做法并不是酒店業(yè)獨有的。通過URL參數(shù)或在referrer字段中無意中共享敏感信息在網(wǎng)站中很普遍。在過去的幾年里,Wueest看到過多家航空公司、度假景點和其他網(wǎng)站的類似問題。其他研究人員在2019年2月報告了類似的問題,其中未加密的鏈接被用于多個航空公司服務(wù)提供商。

更多問題

Wueest還發(fā)現(xiàn),多個網(wǎng)站允許強制執(zhí)行預(yù)訂參考以及枚舉攻擊。在許多情況下,預(yù)訂參考代碼只是從一個預(yù)訂增加到下一個預(yù)訂。這意味著,如果攻擊者知道客戶的電子郵件或姓氏,他們就可以猜出該客戶的預(yù)訂參考號并登錄。強行預(yù)訂號碼是旅游行業(yè)的一個普遍問題,Wueest之前曾在博客中發(fā)表過這樣的信息。

這樣的攻擊可能無法很好地擴展,但是當攻擊者考慮到特定目標或目標位置已知時,它確實可以正常工作,例如會議酒店。對于某些網(wǎng)站,后端甚至不需要客戶的電子郵件或姓名 – 所需要的只是有效的預(yù)訂參考代碼。Wueest發(fā)現(xiàn)了這些編碼錯誤的多個例子,這使Wueest不僅可以訪問大型連鎖酒店的所有有效預(yù)訂,還可以查看國際航空公司的每張有效機票。

一個預(yù)訂引擎非常智能,可以為訪客創(chuàng)建一個隨機的PIN碼,以便與預(yù)訂參考號一起使用。不幸的是,登錄沒有綁定到訪問的實際預(yù)訂。因此,攻擊者只需使用自己的有效憑據(jù)登錄并仍可訪問任何預(yù)訂。Wueest沒有看到任何證據(jù)表明后端有任何速率限制可以減緩此類攻擊。

有什么風(fēng)險?

許多人通過在社交媒體網(wǎng)絡(luò)上發(fā)布照片來定期分享他們的旅行細節(jié)。這些人可能不太關(guān)心他們的隱私,實際上可能希望他們的關(guān)注者知道他們的行蹤,但Wuees相當肯定如果他們到達他們的酒店并發(fā)現(xiàn)他們的預(yù)訂已被取消后,他們會更加注意。攻擊者可能會因為娛樂或個人報復(fù)而決定取消預(yù)訂,但也可能損害酒店的聲譽,作為勒索計劃的一部分或作為競爭對手的破壞行為。

酒店業(yè)也存在相當多的數(shù)據(jù)泄露,以及數(shù)據(jù)配置不當?shù)脑茢?shù)據(jù)的數(shù)據(jù)泄露。然后,這些信息可以在暗網(wǎng)上出售或用于進行身份欺詐。收集的數(shù)據(jù)集越完整,它就越有價值。

詐騙者還可以使用以這種方式收集的數(shù)據(jù)來發(fā)送令人信服的個性化垃圾郵件或執(zhí)行其他社交工程攻擊。提供個人信息可以提高勒索郵件的可信度,就像那些聲稱你被黑客攻擊的郵件一樣。

此外,有針對性的攻擊團體也可能對商業(yè)專業(yè)人士和政府雇員的行程感興趣。例如DarkHotel/Armyworm, OceanLotus/Destroyer, Swallowtail及Whitefly等APT團伙。這些群體對這一領(lǐng)域感興趣的原因有很多,包括一般監(jiān)視目的,跟蹤目標的動作、識別隨行人員,或者找出某人在特定地點停留多久。它還可以允許物理訪問目標的位置。

解決問題

根據(jù)GDPR,歐盟個人的個人數(shù)據(jù)必須根據(jù)這些問題得到更好的保護。然而,受影響酒店對Wueest的調(diào)查結(jié)果的回應(yīng)令人失望。

Wueest聯(lián)系了受影響酒店的數(shù)據(jù)隱私官(DPO)并告知他們相關(guān)調(diào)查結(jié)果。令人驚訝的是,25%的DPO在六周內(nèi)沒有回復(fù)。一封電子郵件被退回,因為隱私政策中的電子郵件地址不再有效。在做出回應(yīng)的人中,他們平均花了10天回應(yīng)。做出回應(yīng)的人主要確認收到他的詢問,并承諾調(diào)查該問題并實施任何必要的變更。一些人認為,根本不是個人數(shù)據(jù),而且必須與隱私政策中所述的廣告公司共享數(shù)據(jù)。一些人承認他們?nèi)栽诟滤麄兊南到y(tǒng)以完全符合GDPR標準。其他使用外部服務(wù)進行預(yù)訂系統(tǒng)的酒店開始擔心服務(wù)提供商畢竟不符合GDPR標準。

預(yù)訂站點應(yīng)使用加密鏈接并確保沒有憑據(jù)作為URL參數(shù)泄露??蛻艨梢詸z查鏈接是否已加密,或者個人數(shù)據(jù)(如電子郵件地址)是否作為URL中的可見數(shù)據(jù)傳遞。他們還可以使用VPN服務(wù)來最大限度地減少他們在公共熱點上的曝光率。不幸的是,對于普通的酒店客人來說,發(fā)現(xiàn)這樣的泄漏可能不是一件容易的事,如果他們想要預(yù)訂特定的酒店,他們可能沒有多少選擇。

盡管GDPR大約一年前在歐洲生效,但這個問題存在的事實表明,GDPR的實施還沒有完全解決組織如何應(yīng)對數(shù)據(jù)泄漏問題。到目前為止,已經(jīng)報告了超過20萬起GDPR投訴和數(shù)據(jù)泄露案件,用戶的個人數(shù)據(jù)仍然存在風(fēng)險。

bf157890de74c43

 
 

上一篇:標準化更新-SAS_evt_n_upgrade_package_2019-04-11

下一篇:2019年04月12日 聚銘安全速遞