کمیته رکن چهارم – بیشتر هتلهای جهان، اطلاعات شخصی مسافران را در معرض خطر افشا قرار میدهند.
هتلهای امروزی با همکاری شرکتهای متعدد و با هدف آنالیز دادههای مشتریان و فروش بهتر، خطر افشای اطلاعات حساس را افزایش میدهند.
محققان اعلام کردند که از هر سه وبسایت هتل در جهان، دو تای آنها بهصورت ناخواسته اطلاعات میهمانهای خود را به شرکتهای همکار میدهند؛ شرکتهایی که به هتلها امکان میدهند تا رزروهای آنلاین را مدیریت کنند. محققان امنیتی شرکت Symantec که این خبر را منتشر کردهاند، ۱۵۰۰ هتل را در ۵۴ کشور جهان مورد بررسی قرار داده بودند. طبق بررسیهای آنها، ۶۷ درصد از وبسایتهای هتلها، اطلاعات را از طریق کدهای متنوع به شبکههای تبلیغات و شرکتهای تحلیل داده، منتقل کرده بودند.
سیمنتک در تحقیقات خود متوجه شد که اطلاعات منتقل شده به شرکتهای واسط، نهتنها دسترسی به اطلاعات شخصی افراد را برای آنها آسان میکند، بلکه امکان ورود به سیستم رزرو هریک از آنها را نیز به شرکتها میدهد. درواقع، علاوه بر اطلاعات حساس افراد، امکان لغو کردن رزروها نیز از سوی شرکتهای واسط وجود دارد.
انواع هتلها از اقامتگاههای دو ستاره در دورترین نقاط جهان تا هتلهای پنج ستاره و هتلهای زنجیرهای، در بررسی سیمنتک حضور داشتند. از هر دسته از هتلها نیز، تعدادی بهعنوان مراکز ناامن درز اطلاعات کاربران، شناسایی شدند. برخی از هتلها، تنها اطلاعات عددی و تاریخهای رزرو را به شرکتهای دیگر منتقل میکردند، اما اکثر آنها، گسترهی وسیعتری از اطلاعات کاربران شامل نام کامل، آدرس ایمیل، آدرس فیزیکی و شماره تلفن را در معرض دسترسی قرار میدادند.
در میان هتلهای آسیبپذیر، برخی از آنها حتی شمارهی پاسپورت میهمانان و اطلاعات مالی همچون ۴ رقم آخر شمارهی کارت اعتباری، نوع کارت و تاریخ انقضای آن را نیز به شرکتهای واسط ارائه میکردند. سیمانتک در ادامه گفت که ۵۷ درصد از هتلهای حاضر در بررسی امنیتی، ایمیلی با لینک مستقیم به سیستم رزرواسیون به مشتریان ارسال میکردند. در مقابل، ازآنجاییکه بسیاری از وبسایتها، محتوای تبلیغاتی هم ارائه میکنند، بیش از ۳۰ سرویسدهنده، امکان دسترسی به آن لینک مستقیم را داشتند.
بیش از ۱۷۵ ریکوئست طی هر فرایند رزرو بهصورت میانگین ارسال میشود و لینکهای ایستای مورد استفاده، میتوانند موجب ارسال اطلاعات مسافران به تبلیغدهندهها، شرکتهای تحلیلی، موتورهای جستوجو و شبکههای اجتماعی شود. سیمنتک در بخشی از گزارش خود نوشت:
سناریوهای احتمالی دیگری هم برای علت درز اطلاعات کاربران وجود دارد. برخی از وبسایتها، اطلاعات را حین فرایند رزرو، ارائه میکنند و برخی دیگر، در زمان ورود دستی کاربر به سیستم، این کار را انجام میدهند. برخی از آنها هم یک توکن برای دسترسی امن تولید میکنند که البته، بهجای وارد شدن به اطلاعات شخصی به URL وارد میشود و روش امنی برای حفظ اطلاعات نیست.
تیم تحقیقاتی، حفرههای امنیتی دیگری را نیز در بررسیهای خود کشف کردند. ۲۹ درصد از هتلها، لینکهای شامل شناسهی رزرو و اطلاعات کاربران را رمزنگاری نمیکنند. درنتیجه، مجرمان سایبری با دسترسی به لینکها توانایی استخراج اطلاعات کاربران را خواهند داشت. بهعلاوه، بسیاری از وبسایتهای موردبررسی نیز در برابر حملات جستجوی فراگیر، آسیبپذیر بودند.
بههرحال اکنون که قانون GDPR با جدیت در اتحادیهی اروپا اجرا میشود، هتلها و سازمانهای مشابه و کسبوکارهایی که با اطلاعات افراد سروکار دارند، باید جدیت بیشتری در حفظ اطلاعات کاربران حین ثبتنام، نگهداری آنها و فرایندهای پردازش داشته باشند.
سیمنتک در بخشی دیگر از گزارش خود میگوید بسیاری از هتلهایی که آسیبپذیریهای فوق را داشتند، نهتنها در شناسایی و رفع، بلکه در درک آن نیز عاجز بودند. ۲۵ درصد از مسئولان هتلهای مورد بررسی، تا ۶ هفته پس از اعلام آسیبپذیریها توسط تیم تحقیقاتی، پاسخی به آنها ندادند. البته، آنهایی که پاسخگو بودند، جوابیهی خود را بهصورت میانگین تا ۱۰ روز بعد ارسال کردند.
گروه تحقیقاتی در بخش دیگری از گزارش میگوید:
وجود چنین مشکلاتی، یک سال پس از پیادهسازی قانون GDPR نشان میدهد که این قانون، بهصورت کامل چگونگی پاسخگویی شرکتها به افشای اطلاعات کاربران را پوشش نداده است. بیش از ۲۰۰ هزار پروندهی نقض قانون GDPR و شکایتهای مرتبط با آن، در کنار رخدادهای متعدد افشای اطلاعات کاربران، دیده شده است و هنوز، دادههای شخصی افراد در معرض خطر قرار دارد.
سال گذشته، رخداد پیش آمده برای هتلهای زنجیرهای ماریوت، نشان داد که افشای اطلاعات کاربران، چه خطراتی را در پی دارد. مجرمان سایبری در آن پرونده، از سال ۲۰۱۴ به اطلاعات پاسپورت بیش از ۵۰۰ میلیون کاربر دسترسی پیدا کردند. البته، ماریوت در بررسی اخیر سیمنتک، قرار نداشت!
