Symantec: 2 στα 3 ξενοδοχεία διαρρέουν τα προσωπικά δεδομένα των πελατών τους σε τρίτους
Μια συνηθισμένη δραστηριότητα, όπως η online κράτηση ενός δωματίου σε κάποιο ξενοδοχείο, μπορεί να ελλοχεύει τεράστιους κινδύνους για την ασφάλεια των προσωπικών δεδομένων σας. Σε αυτό το συμπέρασμα καταλήγει η Symantec μετά την αξιολόγηση 1.500 ξενοδοχειακών ιστοσελίδων σε 54 διαφορετικές χώρες της υφηλίου.
Σύμφωνα με δημοσίευμα του Reuters, η επιθεώρηση της Symantec έφερε στο φως ορισμένα ανησυχητικά στοιχεία. Πιο συγκεκριμένα δύο στα τρία ξενοδοχεία διαρρέουν σε τρίτους τις λεπτομέρειες κρατήσεων των πελατών τους. Οι πληροφορίες αυτές περιλαμβάνουν ονοματεπώνυμα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, ταχυδρομικές διευθύνσεις, αριθμούς κινητών τηλεφώνων, αριθμούς διαβατηρίου, καθώς και στοιχεία πιστωτικών καρτών (τα τελευταία τέσσερα ψηφία, ημερομηνία λήξης, το αν η κάρτα είναι Visa ή MasterCard). Τα δεδομένα αυτά διαρρέουν στη συνέχεια σε third-party ιστοσελίδες, σε διαφημιστικές και σε εταιρείες που δραστηριοποιούνται στον τομέα των analytics.
Τα εύλογα ερωτήματα που εγείρονται είναι το πώς και για ποιόν ακριβώς λόγο γίνεται αυτή η διαρροή δεδομένων. Οι διαρροές οφείλονται κατά κύριο λόγο από τον τρόπο με τον οποίο τα ξενοδοχεία στέλνουν τα confirmation emails, τα emails δηλαδή που σας πληροφορούν ότι η κράτησή σας πραγματοποιήθηκε με επιτυχία. Συνήθως στα emails αυτά υπάρχει ένα link που παραπέμπει στις πληροφορίες κράτησης, στο οποίο μπορεί να αποκτήσει πρόσβαση ο οποιοδήποτε καθώς δεν απαιτείται login. To ένα τέταρτο δε των ξενοδοχείων δεν μπαίνει καν στον κόπο να κρυπτογραφήσει αυτό το link, όποτε οι επιτήδειοι μπορούν πιο εύκολα να υποκλέψουν τις πληροφορίες.
Σύμφωνα με τη Symantec, το link αυτό διαμοιράζεται σε περισσότερους από 30 διαφορετικούς πάροχους υπηρεσιών, "συμπεριλαμβανομένων μέσων κοινωνικής δικτύωσης, μηχανών αναζήτησης, διαφημιστικών και analytics εταιρειών." Τα ξενοδοχεία από την πλευρά τους επιλέγουν να μοιραστούν τις πληροφορίες κράτησης με τους πελάτες τους με όσο το δυνατόν πιο εύκολο τρόπο, αλλά αγνοούν τους κινδύνους που ελλοχεύουν.
Ο Candid Wueest, επικεφαλής ερευνητής της Symantec, ανέφερε επί του θέματος, "Αν και δεν είναι μυστικό ότι οι διαφημιστές παρακολουθούν τις browsing συνήθειες των χρηστών, σε αυτή την περίπτωση οι πληροφορίες που διέρρευσαν θα μπορούσαν να επιτρέψουν σε third-party υπηρεσίες να κάνουν log σε μία κράτηση, να δουν τα προσωπικά δεδομένα ή ακόμα και να ακυρώσουν την κράτηση."
Πέρα από την ευκολία με την οποία διαμοιράζουν τα προσωπικά δεδομένα των πελατών τους, τα ξενοδοχεία δείχνουν να αγνοούν επιδεικτικά τον κίνδυνο. Η Symantec επικοινώνησε και με τα 1500 ξενοδοχεία και χρειάστηκε να περιμένει 10 μέρες κατά μέσο όρο για να πάρει απάντηση από τους αρμοδίους για την προστασία των προσωπικών δεδομένων. Το 25% δε των ξενοδοχείων δεν απάντησε καν στην Symantec μέσα σε ένα διάστημα έξι εβδομάδων. Η συνηθέστερη απάντηση των ξενοδοχείων είναι ότι "ακόμη τροποποιούμε τα συστήματά μας για να συμμορφωθούμε με τους κανόνες του GDPR."
Θυμίζουμε ότι τον περασμένο Νοέμβριο τα δεδομένα 500 εκατομμυρίων πελατών βρέθηκαν εκτεθειμένα μετά από κυβερνοεπίθεση στον διεθνή ξενοδοχειακό όμιλο Marriot. Στην έρευνά η Symantec δεν αξιολόγησε ξενοδοχεία του ομίλου Marriott, αποδεικνύοντας ότι η προστασία των προσωπικών δεδομένων παραμένει ένα "αγκάθι" στην ξενοδοχειακή βιομηχανία