Cerca del 70% de las webs de hoteles han filtrado información de sus clientes

Un estudio de seguridad liderado por Symatec ha revelado que tras recibir por correo electrónico la confirmación de la reserva en más de 1.500 hoteles, se encontraron con que el 67% de ellos filtró de forma involuntaria la información personal de los huéspedes.

Los hoteles utilizados para el estudio se localizaban en 54 países distintos, encontrando estos problemas de seguridad tanto en los Estados Unidos como Canadá y, aún más importante, en varios países de Europa pese a las nuevas y estrictas leyes del GDPR. Este problema de seguridad quedó patente tanto en hoteles modestos hasta en resorts de lujo con playas privadas de 5 estrellas.

Filtracion de datos 740x493. 0

El problema principal involucraba correos electrónicos de confirmación de reservas, según el investigador principal de amenazas de Symantec, Candid Wueest. Muchos de los mensajes incluyen un enlace activo que se dirige a un sitio web donde los huéspedes pueden acceder a su reserva y deben iniciar sesión nuevamente.

El código de la reserva y el correo electrónico del invitado a menudo se encuentran en la propia URL, lo que en sí mismo no es un gran problema, pero un atacante podría usar esos datos para terminar accediendo al nombre completo del que hizo la reserva, la dirección de donde vive, número de teléfono, número de pasaporte y más información de carácter confidencial, a lo que se le sumaba que un número menor de hoteles no cifraba los enlaces enviados en los correos, lo que facilita aún más el trabajo de los atacantes.

"https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld es un ejemplo de cómo se muestran los datos."

Un portavoz de Symantec contactó con los hoteles que tenían el problema de seguridad e informó que la mayoría (pero no todos) de los hoteles estaban tomando medidas para solucionarlo. Symantec no reveló qué hoteles fueron nombrados en el estudio, pero dijo que miró un total de 45 sitios web diferentes, incluyendo los ya conocidos y populares portales donde nos muestran una gran cantidad de hoteles.

Por ahora, para proteger la privacidad, Symatec indica que los usuarios deben emplear un VPN a la hora de revisar/modificar su reserva mediante dicho email cuando estén conectados a una red WiFi pública.

vía: Engadget

Artículos relacionados