Når I får en bekræftelses email fra et hotel eller en booking portal på nettet, indeholder den ofte meget mere information end godt er.
De spreder nemlig flere personlige data på gæsterne, end folk aner. Dermed bryder de også EU’s GDPR regler for beskyttelse af personlig information.
Det viser en ny analyse, som det store data-sikkerheds-firma Symantec har foretaget hos 1.500 hoteller verden over.
To af tre – eller 67 pct – lækkede uønskede data i deres eksterne kommunikation.
Symantecs nye analyse omfatter hoteller i 54 lande verden over. Fra to-stjernede moteller til fem-stjernede luksus hoteller. Om – og hvor mange danskere – der er imellem, oplyses desværre ikke.
Ifølge Symantec ligger det største problem i de bekræftelses-mails, som hotellerne sender ud til deres gæster. De indeholder ofte et aktivt link til en separat webside, hvor gæsterne kan få adgang til deres reservation ved at logge ind igen.
Det lyder jo egentlig godt nok, hvis det ikke var, fordi gæstens booking kode og private email ligger som en del af den viste adresse (URL).
I praksis kan det være en invitation til en hacker, som nærmest automatisk kan hente gæstens private fysiske adresse, hans telefon nummer, rejsepas informationer og måske også kreditkort oplysninger.
Dertil kommer, at hoteller ofte deler deres gæsters personlige data med tredjepart. Det kan være eksterne firmaer, som de samarbejder med – biludlejere, flyselskaber, butikskæder osv. De får på den måde mange flere informationer om hver enkelt hotelgæst, end EU’s nye regler tillader.
Symantec fandt sågar ud af, at et mindre antal hoteller slet ikke krypterede hverken deres booking bekræftelser eller de indeholdte links. Uha, uha.
Det er informationer som disse. der alt for let lækker ud fra hotellers og booking portalers it-systemer, når de sender bekræftelses-mails til deres kunder. (Illustration: Symantec)
Symantec fortæller, at man har kontaktet hoteller og hotelkæder med de største sikkerheds-huller. Langt de fleste, men ikke alle har efterfølgende lukket dem og indført et mindre hacker-venligt it-system.
Symantec nævner ikke de undersøgte hotellers navne i sin analyse. Kun, at man tjekkede 45 forskellige websider, der indeholder både selvstændige hoteller og medlemmer af kæder med hundreder af lokationer verden over. Totalt set dækkede de 45 websider godt 1.500 hoteller.
Ifølge Symantec kan en typisk bekræftelses email med sikkerheds-bristen i se således ud:
https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld
Symantec anbefaler, at hotelgæster bruger VPN, når de f.eks. ændre deres hotel-reservation fra et åbent Wi-Fi område som f.eks. i en lufthavn eller i et konference-center….
(Infografik: Symantec)
Skriv et svar