Symantec調查：67%酒店網站　意外洩漏訂房客戶資料

美國網絡安全公司賽門鐵克（Symantec Corporation）周三（10日）公布調查報告，指三分之二的酒店網站除與廣告商分享顧客的瀏覽習慣，更可能讓他們看到客戶的個人資料，甚至預訂房間資料。酒店營運商也可能在無意中幫了黑客的忙，讓他們更易取得包括客戶的全名、電郵地址、信用卡資料和護照號碼等。

酒店會對預訂房間的客人發出電郵，確認已為其做妥住宿安排。然而這些電郵中可能有一個保安漏洞，導致客戶個人資料外洩。

Symantec調查54個國家共1500多家酒店的網站，發現67%無意中對外洩漏客戶的個人資料。這些網站遍佈美國、加拿大，部分位處歐洲。出事的網站由評級僅兩星的汽車旅館，到5星級的海灘渡假村都有。

這個保安漏洞存在於酒店發送給客戶的電郵，Symantec主要威脅研究員Candid Wueest指出，這類電郵內文往往附有一個連結，用家點擊後可打開一新的視窗並進入一個網站；他們可在重新登入的情況下，能取閱其訂房資料，並在有需要時做出修改。連結通常包含預訂號碼以及客戶的電郵地址。

這本來不是什麼一回事，然而酒店跟很多公司一樣，都會將客戶資料跟第三方分享，除了用戶的瀏覽習慣，客戶的預訂號碼及電郵地址也會落入外部企業手中。對於黑客而言，他們則只需取得預訂號碼，便能將客戶住址、全名、手提電話號碼、護照號碼以及其他敏感資料拿到手。

Symantec也發現少數酒店不會將訂房確認電郵中的連結加密，這可能讓黑客有機可乘。此外，Symantec雖有聯絡相關酒店，然而並非所有酒店都會採取行動。

Symantec建議，使用公共Wifi修改酒店訂房選項的人，最好先啟動VPN（虛擬私人網路），而如果訂房確認電郵中的連結跟以下的例子相似，便要格外小心：https://booking.酒店名稱/retrieve.php?prn=預訂號碼&mail=你的電郵地址.tld

（Engadget／路透社）