Durante una ricerca su possibili attacchi di tipo “formjacking”, gli esperti di Symantec hanno scoperto sui siti di molti hotel una grave vulnerabilità che potrebbe causare la perdita dei dati personali degli ospiti. Dopo aver testato i siti di circa 1.500 hotel in 54 paesi, la software house ha rilevato che due terzi di essi consentono l’accesso ai codici di prenotazione da parte di inserzionisti e società di analisi.
Il test ha riguardano hotel di ogni categoria, dagli economici due stelle a quelli di lusso a cinque stelle. Alcuni sistemi di prenotazione online rivelano solo un valore numerico e la data del soggiorno, senza divulgare informazioni personali. La maggioranza però rende accessibili diversi dati, tra cui nome, indirizzo email, indirizzo di residenza, numero di telefono, numero del passaporto e le ultime quattro cifre della carta di credito con data di scadenza. Molti siti inviano una email di conferma con un link diretto alla pagina della prenotazione, senza richiedere il login.
Oltre al dominio del sito, il link contiene anche il codice della prenotazione e l’indirizzo email del cliente. Ciò non dovrebbe essere un problema, in teoria. Tuttavia molti siti caricano sullo stessa pagina contenuti aggiuntivi, come le inserzioni pubblicitarie, per cui l’accesso diretto alla prenotazione viene condiviso con altre risorse. Symantec ha scoperto che i dati vengono inviati ad oltre 30 service provider, tra cui social network, motori di ricerca e società di analisi. Oltre alla visualizzazione delle informazioni personali sarebbe possibile modificare e cancellare la prenotazione.
Non si tratta solo di un problema di privacy. Il 29% dei siti usa link HTTP nell’email di conferma. Un malintenzionato potrebbe effettuare un attacco man-in-the-middle e quindi intercettare i dati personali dell’utente. Un altro potenziale pericolo per la sicurezza è dovuto all’uso di un codice di prenotazione formato da numeri in sequenza (è sufficiente aggiungere 1 al precedente). Conoscendo il nome o l’email del cliente si può accedere alla prenotazione.
Symantec ha contattato gli hotel per segnalare i problemi riscontrati. Il 25% dei responsabili della privacy non ha risposto entro cinque settimane, mentre chi ha risposto ha impiegato in media 10 giorni. Altri hanno invece ammesso di essere ancora in fase di aggiornamento dei sistemi per allinearsi al GDPR (entrato in vigore quasi un anno fa).
La soluzione è piuttosto semplice, in quanto basta utilizzare link HTTPS e non inserire i dati nella URL. I clienti devono controllare il link nell’email di conferma ed eventualmente usare una VPN, soprattutto quando la connessione avviene tramite hotspot pubblici.