信息來(lái)源：hackernews

是什么導(dǎo)致這些泄漏？

Wueest測(cè)試的網(wǎng)站中有超過(guò)一半（57％）向客戶(hù)發(fā)送確認(rèn)電子郵件，并提供直接訪問(wèn)其預(yù)訂的鏈接。這是為了方便客戶(hù)而提供的，只需點(diǎn)擊鏈接即可直接進(jìn)入預(yù)訂，無(wú)需登錄。

由于電子郵件需要靜態(tài)鏈接，因此HTTP POST Web請(qǐng)求實(shí)際上不是一個(gè)選項(xiàng)，這意味著預(yù)訂參考代碼和電子郵件將作為URL本身的參數(shù)傳遞。就其本身而言，這不是問(wèn)題。但是，許多網(wǎng)站直接在同一網(wǎng)站上加載其他內(nèi)容，例如廣告。這意味著直接訪問(wèn)可以直接與其他資源共享，也可以通過(guò)HTTP請(qǐng)求中的referrer字段間接共享。Wueest的測(cè)試表明，每次預(yù)訂平均生成176個(gè)請(qǐng)求，但并非所有這些請(qǐng)求都包含預(yù)訂詳細(xì)信息。該數(shù)字表示可以非常廣泛地共享預(yù)訂數(shù)據(jù)。

為了演示，Wueest假設(shè)確認(rèn)電子郵件包含以下格式的鏈接，該鏈接會(huì)自動(dòng)讓W(xué)ueest登錄到他的預(yù)訂概述中：

HTTPS：//booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld

加載的頁(yè)面（在此示例中為retrieve.php網(wǎng)站）可以調(diào)用許多遠(yuǎn)程資源。為這些外部對(duì)象發(fā)出的一些Web請(qǐng)求將直接將完整URL（包括憑據(jù)）作為URL參數(shù)發(fā)送。

以下是分析請(qǐng)求的示例，其中包含完整的原始URL，包括作為參數(shù)的參數(shù)：

https://www.google-analytics.com/collect?v=1&_v=j73&a=438338256&t=pageview&_s=1&dl=https%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail% 3Djohn％5Fsmith％40myMail.tld＆dt

=你的％20booking＆sr = 1920×1080＆vp = 1061×969＆je = 0＆_u = SCEBgAAL~＆jid = 1804692919＆gjid =

1117313061＆cid = 1111866200.1552848010＆tid = UA-000000-2＆_gid = 697872061.1552848010＆gtm = 2wg3b2MMKSS89＆z = 337564139

如上所述，相同的數(shù)據(jù)也在referrer字段中，在大多數(shù)情況下將由瀏覽器發(fā)送。這導(dǎo)致參考代碼與30多個(gè)不同的服務(wù)提供商共享，包括眾所周知的社交網(wǎng)絡(luò)，搜索引擎以及廣告和分析服務(wù)。此信息可能允許這些第三方服務(wù)登錄預(yù)訂，查看個(gè)人詳細(xì)信息，甚至完全取消預(yù)訂。

還有其他情況，預(yù)訂數(shù)據(jù)也可能被泄露。有些網(wǎng)站會(huì)在預(yù)訂過(guò)程中傳遞信息，而其他網(wǎng)站會(huì)在客戶(hù)手動(dòng)登錄網(wǎng)站時(shí)泄露信息。其他人生成一個(gè)訪問(wèn)令牌，然后在URL而不是憑據(jù)中傳遞，這也不是好習(xí)慣。

在大多數(shù)情況下，Wueest發(fā)現(xiàn)即使預(yù)訂被取消，預(yù)訂數(shù)據(jù)仍然可見(jiàn)，從而為攻擊者提供了竊取個(gè)人信息的機(jī)會(huì)。

酒店比較網(wǎng)站和預(yù)訂引擎似乎更安全。從Wueest測(cè)試的五個(gè)服務(wù)中，兩個(gè)泄露了憑據(jù)，一個(gè)發(fā)送了登錄鏈接而沒(méi)有加密。應(yīng)該注意的是，Wueest發(fā)現(xiàn)了一些配置良好的網(wǎng)站，它們首先需要Digest認(rèn)證，然后在設(shè)置cookie后重定向，確保數(shù)據(jù)不會(huì)泄露。

未加密的鏈接

可以認(rèn)為，由于數(shù)據(jù)僅與網(wǎng)站信任的第三方提供商共享，因此該問(wèn)題的隱私風(fēng)險(xiǎn)較低。然而，令人遺憾的是，Wueest發(fā)現(xiàn)超過(guò)四分之一（29％）的酒店網(wǎng)站沒(méi)有加密包含該ID的電子郵件中發(fā)送的初始鏈接。因此，潛在的攻擊者可以攔截點(diǎn)擊電子郵件中的HTTP鏈接的客戶(hù)的憑證，例如，查看或修改他或她的預(yù)訂。這可能發(fā)生在公共熱點(diǎn)，如機(jī)場(chǎng)或酒店，除非用戶(hù)使用VPN軟件保護(hù)連接。Wueest還觀察到一個(gè)預(yù)訂系統(tǒng)在連接被重定向到HTTPS之前，在預(yù)訂過(guò)程中將數(shù)據(jù)泄露給服務(wù)器。

不幸的是，這種做法并不是酒店業(yè)獨(dú)有的。通過(guò)URL參數(shù)或在referrer字段中無(wú)意中共享敏感信息在網(wǎng)站中很普遍。在過(guò)去的幾年里，Wueest看到過(guò)多家航空公司、度假景點(diǎn)和其他網(wǎng)站的類(lèi)似問(wèn)題。其他研究人員在2019年2月報(bào)告了類(lèi)似的問(wèn)題，其中未加密的鏈接被用于多個(gè)航空公司服務(wù)提供商。

更多問(wèn)題

Wueest還發(fā)現(xiàn)，多個(gè)網(wǎng)站允許強(qiáng)制執(zhí)行預(yù)訂參考以及枚舉攻擊。在許多情況下，預(yù)訂參考代碼只是從一個(gè)預(yù)訂增加到下一個(gè)預(yù)訂。這意味著，如果攻擊者知道客戶(hù)的電子郵件或姓氏，他們就可以猜出該客戶(hù)的預(yù)訂參考號(hào)并登錄。強(qiáng)行預(yù)訂號(hào)碼是旅游行業(yè)的一個(gè)普遍問(wèn)題，Wueest之前曾在博客中發(fā)表過(guò)這樣的信息。

這樣的攻擊可能無(wú)法很好地?cái)U(kuò)展，但是當(dāng)攻擊者考慮到特定目標(biāo)或目標(biāo)位置已知時(shí)，它確實(shí)可以正常工作，例如會(huì)議酒店。對(duì)于某些網(wǎng)站，后端甚至不需要客戶(hù)的電子郵件或姓名 – 所需要的只是有效的預(yù)訂參考代碼。Wueest發(fā)現(xiàn)了這些編碼錯(cuò)誤的多個(gè)例子，這使Wueest不僅可以訪問(wèn)大型連鎖酒店的所有有效預(yù)訂，還可以查看國(guó)際航空公司的每張有效機(jī)票。

一個(gè)預(yù)訂引擎非常智能，可以為訪客創(chuàng)建一個(gè)隨機(jī)的PIN碼，以便與預(yù)訂參考號(hào)一起使用。不幸的是，登錄沒(méi)有綁定到訪問(wèn)的實(shí)際預(yù)訂。因此，攻擊者只需使用自己的有效憑據(jù)登錄并仍可訪問(wèn)任何預(yù)訂。Wueest沒(méi)有看到任何證據(jù)表明后端有任何速率限制可以減緩此類(lèi)攻擊。

有什么風(fēng)險(xiǎn)？

許多人通過(guò)在社交媒體網(wǎng)絡(luò)上發(fā)布照片來(lái)定期分享他們的旅行細(xì)節(jié)。這些人可能不太關(guān)心他們的隱私，實(shí)際上可能希望他們的關(guān)注者知道他們的行蹤，但Wuees相當(dāng)肯定如果他們到達(dá)他們的酒店并發(fā)現(xiàn)他們的預(yù)訂已被取消后，他們會(huì)更加注意。攻擊者可能會(huì)因?yàn)閵蕵?lè)或個(gè)人報(bào)復(fù)而決定取消預(yù)訂，但也可能損害酒店的聲譽(yù)，作為勒索計(jì)劃的一部分或作為競(jìng)爭(zhēng)對(duì)手的破壞行為。

酒店業(yè)也存在相當(dāng)多的數(shù)據(jù)泄露，以及數(shù)據(jù)配置不當(dāng)?shù)脑茢?shù)據(jù)的數(shù)據(jù)泄露。然后，這些信息可以在暗網(wǎng)上出售或用于進(jìn)行身份欺詐。收集的數(shù)據(jù)集越完整，它就越有價(jià)值。

詐騙者還可以使用以這種方式收集的數(shù)據(jù)來(lái)發(fā)送令人信服的個(gè)性化垃圾郵件或執(zhí)行其他社交工程攻擊。提供個(gè)人信息可以提高勒索郵件的可信度，就像那些聲稱(chēng)你被黑客攻擊的郵件一樣。

此外，有針對(duì)性的攻擊團(tuán)體也可能對(duì)商業(yè)專(zhuān)業(yè)人士和政府雇員的行程感興趣。例如DarkHotel/Armyworm, OceanLotus/Destroyer, Swallowtail及Whitefly等APT團(tuán)伙。這些群體對(duì)這一領(lǐng)域感興趣的原因有很多，包括一般監(jiān)視目的，跟蹤目標(biāo)的動(dòng)作、識(shí)別隨行人員，或者找出某人在特定地點(diǎn)停留多久。它還可以允許物理訪問(wèn)目標(biāo)的位置。

解決問(wèn)題

根據(jù)GDPR，歐盟個(gè)人的個(gè)人數(shù)據(jù)必須根據(jù)這些問(wèn)題得到更好的保護(hù)。然而，受影響酒店對(duì)Wueest的調(diào)查結(jié)果的回應(yīng)令人失望。

Wueest聯(lián)系了受影響酒店的數(shù)據(jù)隱私官（DPO）并告知他們相關(guān)調(diào)查結(jié)果。令人驚訝的是，25％的DPO在六周內(nèi)沒(méi)有回復(fù)。一封電子郵件被退回，因?yàn)殡[私政策中的電子郵件地址不再有效。在做出回應(yīng)的人中，他們平均花了10天回應(yīng)。做出回應(yīng)的人主要確認(rèn)收到他的詢(xún)問(wèn)，并承諾調(diào)查該問(wèn)題并實(shí)施任何必要的變更。一些人認(rèn)為，根本不是個(gè)人數(shù)據(jù)，而且必須與隱私政策中所述的廣告公司共享數(shù)據(jù)。一些人承認(rèn)他們?nèi)栽诟滤麄兊南到y(tǒng)以完全符合GDPR標(biāo)準(zhǔn)。其他使用外部服務(wù)進(jìn)行預(yù)訂系統(tǒng)的酒店開(kāi)始擔(dān)心服務(wù)提供商畢竟不符合GDPR標(biāo)準(zhǔn)。

預(yù)訂站點(diǎn)應(yīng)使用加密鏈接并確保沒(méi)有憑據(jù)作為URL參數(shù)泄露。客戶(hù)可以檢查鏈接是否已加密，或者個(gè)人數(shù)據(jù)（如電子郵件地址）是否作為URL中的可見(jiàn)數(shù)據(jù)傳遞。他們還可以使用VPN服務(wù)來(lái)最大限度地減少他們?cè)诠矡狳c(diǎn)上的曝光率。不幸的是，對(duì)于普通的酒店客人來(lái)說(shuō)，發(fā)現(xiàn)這樣的泄漏可能不是一件容易的事，如果他們想要預(yù)訂特定的酒店，他們可能沒(méi)有多少選擇。

盡管GDPR大約一年前在歐洲生效，但這個(gè)問(wèn)題存在的事實(shí)表明，GDPR的實(shí)施還沒(méi)有完全解決組織如何應(yīng)對(duì)數(shù)據(jù)泄漏問(wèn)題。到目前為止，已經(jīng)報(bào)告了超過(guò)20萬(wàn)起GDPR投訴和數(shù)據(jù)泄露案件，用戶(hù)的個(gè)人數(shù)據(jù)仍然存在風(fēng)險(xiǎn)。