北京 - 2019年4月25日 – 去年，华住集团旗下酒店5亿条用户个人信息疑遭泄露，万豪旗下喜达屋酒店数据库遭非法入侵致最多5亿客人信息被窃，酒店服务类网站的个人数据保护已经成为全球的热门话题。近日，赛门铁克公司发布了一个覆盖全球 54 个国家及地区的1,500 多家酒店网站的研究报告，结果发现，酒店网站存在网页表单内容劫持(Formjacking)的风险，其中三分之二 (67％) 的网站都在无意间将顾客预订信息泄露给广告商和分析公司等第三方网站。这些酒店网站均有隐私政策，但他们都没有在其中明确提到此类行为。

　　在行业内，广告商追踪用户浏览痕迹、了解用户的浏览习惯已不是秘密。但信息大范围共享会使得第三方能够登录顾客预订窗口，查看他们详细的个人信息，甚至故意取消其预订。《通用数据保护条例》(GDPR) 已经在欧洲施行了近一年之久，中国也在2017年6月推出了《网络安全法》，旨在监管网络安全、保护个人隐私和敏感信息，以及维护国家网络空间主权和安全。然而直至今日，仍有许多酒店迟迟不愿承认与面对，更没有及时采取应对措施去解决相关问题。

　　赛门铁克公司的研究员们随机选择了一些旅游景点，并检索了位于这些地点的不同级别的热门酒店。从乡村二星级普通酒店到豪华五星级海边度假村等等，一些大型知名连锁酒店的旗下品牌也被纳入测试范畴，这意味着赛门铁克公司的调查结果基本上可以反映业内普遍情况。其中部分网站的预订系统在隐私保护方面表现良好，只简单显示了基础数据和停留日期，并未透露任何个人信息。但绝大多数网站都泄露了如下个人数据：

　　姓名
　　电子邮件地址
　　邮寄地址
　　手机号码
　　信用卡后四位数字、卡类型和有效日期
　　护照号

图 1.预订信息样本 - 显示可能会泄露的顾客预订数据类型

　　数据泄露的原因

　　在赛门铁克公司研究员评测的酒店中，超过一半 (57％) 的酒店会向顾客发送电子邮件确认预订信息，并在邮件中提供可以直接访问预订信息的链接。其本意是为了方便顾客，让顾客无需登录即可进入预订窗口。 然而，这些预定信息在通过电子邮件发送的同时，由于很多第三方会在同一网站上加载广告，会导致直接访问权会被共享给其他资源，或者被间接共享。赛门铁克的测试表明，每次预订平均会生成 176 个请求，虽然并非所有请求都包含详细的预订信息，但这一数字表明预订数据会被大范围共享。

　　图 2.测试示例 – 个人信息可通过 HTTP 请求中的 referrer 字段被间接共享

　　研究测试发现，顾客如果使用电子邮件中收到的链接直接自动登录到预定窗口，在此过程中加载的页面可能会调用许多远程资源，而这些外部对象发出的Web请求会直接将完整URL作为参数发送。在此次测试中，酒店预定码被30多个不同的服务供应商共享，包括一些知名社交网络、搜索引擎以及广告和分析服务供应商。在这种情况下，第三方服务可以登录预订窗口，查看详细的个人信息，甚至取消顾客的预订。值得强调的是，出现这种问题并非服务供应商的责任。

　　此外，对于预订数据的泄露，还有其他潜在的原因。有些数据泄露发生在预订过程中，有些则发生在顾客手动登录网站时。一些网站为了安全起见会生成一个令牌，然后通过 URL 而非安全证书进行传送，但是这种做法也不值得提倡。 而且，在多数情况下即使顾客的酒店预订已经被取消，预订数据仍然可见，这便为攻击者窃取个人信息提供了绝佳的机会。

　　值得一提的是，一些配置良好的网站会先识别安全凭证，然后在设置 cookie 后重新定向，以确保数据不会泄露。

　　未加密的链接

　　研究发现，有超过四分之一 (29％) 的酒店网站没有对电子邮件（包含 ID）中的初始链接加密，这一点令人担忧。一旦顾客点击电子邮件中的 HTTP 链接，攻击者便会在这一进程中拦截顾客凭证，从而达到查看或修改其预订信息的目的。这一情形很可能发生在机场或酒店等使用公共热点的场所，除非用户主动使用 VPN 软件来保护链接。甚至有个别预订系统在其链接从HTTP重定向到 HTTPS 之前，就已经在预订过程中将数据泄露给了服务器。

　　这一问题并非只出现在酒店业，网站通过 URL 参数或 referrer 字段意外泄露敏感信息的现象屡见不鲜。近几年来，很多航空公司、度假景点和其他行业网站都出现过类似问题。2019 年 2 月，赛门铁克的研究人员便发现多家航空公司服务供应商在使用未加密链接时出现了类似的问题。

　　潜在风险

　　最近赛门铁克旗下公司诺顿 LifeLock发布的《2018年诺顿LifeLock网络安全调查报告》显示，85%的中国人比以往更加警惕隐私安全——这一数字在全球参与调查的16个国家和地区中占居前列。然而，大多数人依旧愿意承担一定隐私泄露的风险以追求便利(62％)。

　　许多人都喜欢在社交媒体上发布照片，与大家分享他们在旅行中的点滴回忆。有些人甚至会直接分享他们的票务信息。但当他们到达酒店时却发现预定被取消，才会了解自己的一时大意可能会造成什么样的后果。虽然攻击者这么做可能是出于取乐或报复的心态，但也不排除勒索敲诈或者竞争对手暗箱操作的可能，这也会对酒店的声誉造成影响。

　　对酒店业而言，配置不当的云存储桶也经常导致数据泄露。这些信息随后便可能在黑市上被兜售或用于身份欺诈。收集的数据越全面，其价值就越高。 此外，目标性攻击团伙也可能对商务人士和政府职员的行程进行攻击。众所周知，DarkHotel / Armyworm、OceanLotus / Destroyer，Swallowtail 和 WhiteFly 等 APT 组织已经对酒店业产生了恶劣影响。这些团伙瞄准酒店业的原因有很多，比如监视目标、跟踪行程和探查随行人员，或者为了了解某一用户在某一地点停留的时长，甚至实地侵入目标的位置等。

　　解决问题

　　无论是欧盟的GDPR还是我国的《网络安全法》，都对对个人数据的保护作出了强调。然而赛门铁克公司对存在这一问题的酒店业进行的调查结果显示实际情况并不乐观。就此调查结果，赛门铁克也联系了相关的酒店数据隐私官(DPO)，一些DPO认为这些数据并非“个人数据”，必须要根据隐私政策与广告公司共享；一些则承认他们仍在升级系统，直至完全符合GDPR标准。

　　服务预订网站应统一使用加密链接 (HTTPS)，并确保任何凭证都不会以 URL 参数的形式泄露，即使适用隐私条例允许也不例外（尤其是在欧洲），例如使用 cookie。顾客可以检查链接是否已加密，或者个人数据（如电子邮件地址）是否作为 URL 中的可见数据进行传递。他们还可以使用 VPN 服务来最大限度地降低使用公共热点而带来的信息泄露风险。遗憾的是，对于普通的酒店顾客来说，察觉信息泄露并非易事，而如果他们要预订特定的酒店，选择的余地也就变的非常有限。到目前为止，GDPR 违规、投诉和数据泄露事件已经报告超过 20 万起，用户个人数据仍然面临着风险。