Onderzoekers van Symantec hebben honderden hotelwebsites gevonden die gegevens over boekingen lekken naar derde partijen en adverteerders.
De automatische bevestiging van je hotelboeking kan vaak door anderen worden ingekeken. Dat schrijft Symantec in een rapport. Het securitybedrijf vond fouten in de websites van honderden hotels, waardoor data zoals namen telefoonnummers, paspoortnummers en adressen uit reservatiebevestigingen gelekt kunnen worden. Volgens Candid Wueest, een van de onderzoekers bij Symantec, bekeek het team de websites van 1.500 hotels in 54 landen, en vonden ze problemen bij twee derde van die sites.
Hotels zijn een dankbaar doelwit voor hackers, omdat ze veel gegevens behandelen. Zoals eerdere cyberaanvallen aantoonden, zijn ze ook niet altijd bijzonder stevig beveiligd. Vorig jaar in november moest het Mariott hotel nog toegeven dat de gegevens van 383 miljoen gasten waren gestolen in een van de grootste datalekken tot nu toe. Mariott was niet bij de onderzochte websites.
Bevestigingsmail
Een van de problemen zit, zo schrijft Symantec, bij de link die hotels sturen naar hun gasten. Bij 850 hotelwebsites was er geen enkele vorm van authenticatie nodig om de details op die pagina’s te zien, vervelend als je weet dat de pagina’s onder meer namen, adressen en eventueel kredietkaartgegevens bevatten. Iedereen met de link kan dus die gegevens zien, inclusief adverteerders en analysefirma’s die toegang hebben tot deze pagina’s.
Bovendien is het voor die derde partijen en aanvallers mogelijk om specifieke reserveringen op te zoeken. Vaak staat het reserveringsnummer rechtstreeks in de link, waardoor een potentiële hacker met dat nummer alle gegevens over de gast kan opvragen. Andere websites zouden dan weer makkelijk te forceren zijn, waardoor een aanvaller elke mogelijke combinatie van het reservatienummer kan uitproberen om uiteindelijk op de specifieke pagina te komen.
Wueest contacteerde de hotels maar zegt dat een kwart van hen zijn waarschuwingen negeerden. Hij raadt hen aan om geen reserveringsinformatie in de url te verwerken en betere beveiligingsstandaarden te gebruiken.
Fout opgemerkt of meer nieuws? Meld het hier