Hotéis vazam dados de clientes

CISA divulga lista de ferramentas e serviços gratuitos de segurança cibernética
cibersegurança

Você costuma viajar muito e se hospedar em hotéis? Pois fique atento. Dois em três sites de hotéis vazam detalhes de reservas de visitantes e permitem acesso a dados pessoais. As informações foram divulgadas pela Symantec. Com o vazamento, sites de serviços de hospedagem podem vazar seus dados de reserva, permitindo que outros visualizem seus dados pessoais ou até mesmo cancelem sua reserva.

Foram testados 1.500 hotéis em 54 países, para determinar o quão comum é esse problema de privacidade. O pesquisador Candid Wueest constatou que dois em três, ou 67% desses sites estão inadvertidamente vazando códigos de referência de reserva para sites de terceiros, como anunciantes e empresas de análise. O mais grave é que todos eles tinham uma política de privacidade. No entanto, nenhum deles mencionou esse comportamento explicitamente.

 

Embora não seja nenhum segredo que os anunciantes estão rastreando os hábitos de navegação dos usuários, nesse caso, as informações compartilhadas podem permitir que esses serviços de terceiros façam login, visualizem detalhes pessoais e até mesmo cancelem a reserva, afirmou Candid.

Tudo isso acontece apesar da entrada em vigor do Regulamento Geral de Proteção de Dados (GDPR).

Os sites que testei variavam de hotéis de duas estrelas no campo a luxuosos resorts cinco estrelas na praia. Basicamente, eu escolhi aleatoriamente locais onde eu gostaria de passar minhas férias, em seguida, selecionei os resultados dos principais mecanismos de pesquisa para hotéis nesses locais. Alguns sites de hotéis que testei fazem parte de cadeias de hotéis maiores e bem conhecidas, o que significa que minha pesquisa para um hotel se aplica a outros hotéis da cadeia, relata o pesquisador.

Alguns sistemas de reservas eram honestos, pois só revelavam um valor numérico e a data da estadia. Portanto, não divulgavam nenhuma informação pessoal. Porém, a maioria vazou dados pessoais, como:

  • Nome completo
  • Endereço de e-mail
  • endereço postal
  • número de celular
  • Últimos quatro dígitos do cartão de crédito, tipo de cartão e data de vencimento
  • Número do passaporte.

Figura 1. Exemplo de confirmação de reserva mostrando os tipos de dados de reserva do hóspede que podem ser vazados

O que causa esses vazamentos?

Mais da metade (57%) dos sites que testei enviaram um e-mail de confirmação aos clientes com um link de acesso direto à sua reserva. Isso é fornecido para a conveniência do cliente, permitindo que ele simplesmente clique no link e vá direto para a reserva sem precisar fazer o login.

Como o e-mail requer um link estático, as solicitações da Web HTTP POST não são realmente uma opção, o que significa que o código de referência da reserva e o e-mail são transmitidos como argumentos na própria URL. Por si só, isso não seria um problema. No entanto, muitos sites carregam diretamente conteúdo adicional no mesmo site, como anúncios. Isso significa que o acesso é compartilhado diretamente com outros recursos ou indiretamente por meio do campo referenciador na solicitação HTTP. 

Para demonstrar, vamos supor que o e-mail de confirmação contenha um link no seguinte formato, que automaticamente registraria uma visão geral da reserva:

A página carregada, neste caso o site retrieve.php, pode chamar muitos recursos remotos. Algumas solicitações da web feitas para esses objetos externos enviarão diretamente a URL completa, incluindo as credenciais, como um argumento de URL.

Segue-se um exemplo de um pedido de análise, que contém o URL original completa incluindo os argumentos como:

  • https://www.google-analytics.com/collect?v=1&_v=j73&a=438338256&t=pageview&_s=1&dl=https%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail% 3Djohn% 5Fsmith% 40myMail.tld & dt 
    = Seu% 20booking & sr = 1920×1080 & vp = 1061×969 & je = 0 & _u = SCEBgAAL ~ & jid = 1804692919 & gjid = 
    1117313061 & cid = 1111866200.1552848010 & tid = UA-000000-2 & _gid = 697872061.1552848010 & gtm = 2wg3b2MMKSS89 & z = 337564139

Como mencionado, os mesmos dados também estão no campo de referência, que serão enviados pelo navegador na maioria dos casos. Isso resulta no código de referência sendo compartilhado com mais de 30 provedores de serviços diferentes, incluindo redes sociais conhecidas, mecanismos de pesquisa e serviços de publicidade e análise. Essas informações podem permitir que esses serviços de terceiros façam login em uma reserva, vejam detalhes pessoais e até cancelem a reserva.

Observe que, nesse cenário, a falha não é do provedor de serviços.

Existem outros cenários em que os dados da reserva também podem ser vazados. Alguns sites transmitem as informações durante o processo de reserva, enquanto outros o vazam quando o cliente faz login manualmente no site. Outros geram um token de acesso, que é então passado na URL em vez das credenciais, o que também não é uma boa prática.

Na maioria dos casos, os dados da reserva permanecem visíveis, mesmo que a reserva tenha sido cancelada. Assim, isso concede a um invasor uma grande janela de oportunidade para roubar informações pessoais.

Os sites de comparação de hotéis e os mecanismos de reserva parecem ser um pouco mais seguros. Dos cinco serviços testados, dois vazaram as credenciais e um enviou o link de login sem criptografia.

 

Links não criptografados

Pode-se argumentar que o risco de privacidade com esse problema é baixo, pois os dados são compartilhados apenas com provedores de terceiros que são confiáveis ??pelos sites. No entanto, é preocupante verificar que mais de um quarto (29%) dos sites de hotel não criptografaram o link inicial enviado no e-mail que continha o ID. Um invasor em potencial pode, portanto, interceptar as credenciais do cliente que clica no link HTTP do e-mail, por exemplo, para visualizar ou modificar sua reserva. Isso pode ocorrer em pontos de acesso públicos, como o aeroporto ou o hotel, a menos que o usuário proteja a conexão com VPN. Também verificou-se que um sistema de reservas vazou dados durante o processo de reserva para um servidor por meio de HTTP antes que a conexão fosse redirecionada para HTTPS.

Infelizmente, essa prática não é exclusiva do setor de hospedagem. O compartilhamento inadvertido de informações confidenciais através de argumentos de URL ou no campo de referência é predominante entre os sites. Nos últimos dois anos, tenho visto problemas semelhantes com várias companhias aéreas, atrações de férias e outros sites. Outros pesquisadores relataram problemas semelhantes em fevereiro de 2019, em que links não criptografados foram usados ??em vários provedores de serviços de companhias aéreas.

Outros problemas

O pesquisador descobriu que vários sites permitem força bruta da referência de reserva, bem como ataques de enumeração. Em muitos casos, o código de referência da reserva é simplesmente incrementado de uma reserva para outra. Isso significa que, se o atacante souber o e-mail ou o sobrenome do cliente, ele poderá adivinhar o número de referência da reserva do cliente e fazer o login. O uso de força bruta é um problema generalizado na indústria de viagens e já foi denunciado sobre isso antes.

Um invasor pode, portanto, simplesmente usar suas próprias credenciais válidas para efetuar login e ainda acessar qualquer reserva.

Quais são os riscos?

Relatório de Insegurança de Segurança Cibernética do Norton LifeLock de 2018 revelou recentemente que os consumidores estão preocupados com sua privacidade (83%), porém a maioria diz aceitar certos riscos para tornar a vida mais conveniente (61%).

Muitas pessoas compartilham regularmente detalhes de suas viagens publicando fotos em redes de mídia social. Alguns nem se incomodam em borrar a referência de reserva de seus ingressos. Esses indivíduos podem não estar muito preocupados com sua privacidade e podem realmente querer que seus seguidores saibam sobre seu paradeiro. No entanto, correm o risco de  chegar ao hotel e descobrir que a reserva foi cancelada. Um atacante pode decidir cancelar uma reserva apenas por diversão ou como vingança pessoal. Porém, também pode ser para prejudicar a reputação de um hotel como parte de um esquema de extorsão ou como um ato de sabotagem realizado por um concorrente.   

Também houve algumas violações de dados no setor de hospitalidade e exposição de dados em depósitos de dados em nuvem mal configurados. Tais informações podem então ser vendidas em mercados subterrâneos ou usadas para cometer fraudes de identidade. Quanto mais completo o conjunto de dados reunidos, mais valioso ele é.

Os golpistas também podem usar dados reunidos dessa maneira para enviar spam personalizado convincente ou realizar outros ataques de engenharia social. O fornecimento de informações pessoais pode aumentar a credibilidade dos e-mails de extorsão, como os que afirmam que você foi hackeado.

Além disso, grupos de ataque direcionados também podem estar interessados ??nos movimentos de profissionais de negócios e funcionários do governo. Um número de grupos de APT como DarkHotel/Armyworm, OceanLotus/Destroyer, Swallowtail e Whitefly são conhecidos por terem metas comprometidas no setor de hospedagem.

Há vários motivos pelos quais esses grupos estão interessados ??nesse setor, inclusive para fins de vigilância geral, rastreando os movimentos de um alvo, identificando indivíduos que os acompanham ou descobrindo há quanto tempo alguém está hospedado em um determinado local. Também pode permitir acesso físico à localização de um alvo.

Resolvendo o problema

Nos termos do GDPR, os dados pessoais dos indivíduos na UE devem ser melhor protegidos à luz de tais questões. No entanto, a resposta dos hotéis afetados às descobertas foi decepcionante.

Entrei em contato com os funcionários de privacidade de dados (DPOs) dos hotéis afetados e os informei sobre minhas descobertas. Surpreendentes 25% dos DPOs não responderam em seis semanas. Um e-mail retornou, pois o endereço de e-mail na política de privacidade não estava mais ativo. Dos que responderam, levaram uma média de 10 dias. Aqueles que responderam principalmente confirmaram receber minha consulta e se comprometeram a investigar a questão e implementar as mudanças necessárias. Alguns argumentaram que não eram dados pessoais e que os dados têm de ser compartilhados com empresas de publicidade, conforme declarado na política de privacidade. Alguns admitiram que ainda estão atualizando seus sistemas para serem totalmente compatíveis com GDPR. Outros hotéis que usam serviços externos para seus sistemas de reservas ficaram preocupados com o fato de que os provedores de serviços acabaram não sendo compatíveis com GDPR,

Mitigação

Os sites de reserva devem usar links criptografados (HTTPS) e garantir que nenhuma credencial vaze como argumentos de URL. Os clientes podem verificar se os links estão criptografados ou se os dados pessoais, como o endereço de e-mail, são passados ??como dados visíveis no URL. Eles também podem usar serviços de VPN para minimizar sua exposição em pontos de acesso públicos. Infelizmente, para o hóspede médio do hotel, detectar esses vazamentos pode não ser uma tarefa fácil, e eles podem não ter muita escolha se quiserem reservar um hotel específico.

Mais de 200.000 casos de violações, reclamações e violações de dados do GDPR foram relatados até o momento, e os dados pessoais dos usuários permanecem em risco.

Figura 2. Como seus dados privados podem ser comprometidos
Figura 2. Como seus dados privados podem ser comprometidos