Ötvennégy ország 1500 szállodáját tesztelte a Symantec biztonsági cég egyik kutatója, és kiábrándító eredményre jutott: a hotelek kétharmadánál adatvédelmi problémákat talált. Kiderült, hogy szállodai weboldalak ugyan véletlenül, de személyes adatokat szivárogtatnak ki, és kiszolgáltatják ügyfeleiket a hackereknek.

A hotelek által használt foglalási rendszerek lehetővé teszik, hogy illetéktelenek férjenek hozzá olyan információkhoz, mint például a telefon- és az útlevélszám. A szivárgások fő forrását azok a megerősítő e-mailek jelentik, amelyekbe gyakran küldenek nem biztonságos linkeket. A szakember a vizsgált hotelek 57 százalékánál tapasztalta ezt. Az ilyen linkek amúgy nagyon kényelmesek az ügyfelek számára, hiszen nem kell bejelentkezniük ahhoz, hogy elérjék a foglalásukat, egy közvetlen linkre kattintva azonnal oda kerülnek. Ez önmagában nem is volna probléma, de a legtöbb oldal további tartalmakat (a legtöbbször hirdetéseket) tölt be ugyanarra a webhelyre, azaz közvetlen hozzáférést kínál másnak is. Bár nem titok, hogy a hirdetők nyomon követik a felhasználók böngészési szokásait, ebben az esetben a megosztott információk lehetővé teszik, hogy ezen harmadik fél szolgáltatásai (no meg a hackerek) bejelentkezhessenek a foglalásba, megtekinthessék a személyes adatokat, vagy akár módosítsák, töröljék a foglalást.

Hotelogix

De nemcsak így szivároghatnak ki felhasználói adatok. Vannak, ahonnan akkor kerülnek ki információk, amikor az ügyfél manuálisan bejelentkezik. Tovább súlyosbítja a helyzetet – állítja a biztonsági szakember –, hogy a foglalási adatok még akkor is láthatók voltak, amikor a foglalást már törölték, s így akkor is elérhetőek maradtak személyes információk.

A szakértő felvette a kapcsolatot az érintett szállodákkal, azonban a megkeresettek negyede nem is válaszolt hat héten belül (az átlagos válaszidő 10 nap volt). Azok közül, akik reagáltak, voltak, akik nagyrészt egyetértettek a problémával, és frissítést ígértek, de olyanok is voltak, akik állították, hogy miattuk nincsenek veszélyben a személyes adatok. Azok a szállodák, amelyek külső szolgáltatást használnak foglalási rendszereikben, aggodalmuknak adtak hangot azzal kapcsolatban, hogy a szolgáltatóik végső soron nem GDPR-kompatibilisek.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.