La scoperta inaspettata viene da un membro del team di Symantec, azienda che si occupa di sicurezza informatica, durante una ricerca su dei possibili attacchi formjacking a dei siti di Hotel. Candid Wueest, autore del post su Symantec Blogs, afferma di aver testato vari siti internet (una ricerca a tappeto per 1500 hotel in 54 paesi diversi) per capire quanto sia esteso questo grosso problema di privacy.
La ricerca dimostra che il problema è molto esteso: due volte su tre, più precisamente il 67%, questi siti hanno inavvertitamente condiviso i codici di prenotazione con siti di terze parti, come inserzionisti e società di analisi. Ognuno di essi aveva una certa politica per la privacy ma questo comportamento non viene menzionato esplicitamente.
Nonostante sia passato già un anno da quando il GDPR è entrato in vigore qui in Europa, non tutti gli hotel che soffrono di questo grave problema sono stati rapidi nel rendersene conto e risolverlo.
Wueest dichiara che la ricerca si è basata fondamentalmente secondo questo unico punto: “in quale hotel vorrei passare le vacanze”. Da lì ha controllato numerosi hotel a due stelle in campagna, così come altri lussuosi in centro città. Per quelli che appartengono a delle catene, uno vale per tutti.
Alcune prenotazioni erano sicure, in quanto hanno rivelato solo un valore numerico per la quantità di notti spese nel dato hotel. Ma la maggior parte rivela dati agghiaccianti, quali:
Il 57% dei siti testati da Wueest mandano una email di conferma ai clienti, con un link che riporta ai dati della prenotazione. Questo va più che altro a favore del cliente, in quanto può comodamente controllare i dettagli cliccando sul link, senza dover eseguire un login sul sito che hanno usato per la prenotazione.
Fondamentalmente, il problema arriva nel “viaggio” tra email di conferma e sito della prenotazione, in quanto il codice di riferimento della prenotazione e l’e-mail vengono passati come argomenti nell’URL stesso. Da solo, questo non sarebbe un problema. Tuttavia, molti siti caricano direttamente contenuti aggiuntivi
sullo stesso sito Web, ad esempio pubblicità. Ciò significa che l’accesso diretto è condiviso direttamente con altre risorse o indirettamente attraverso il campo referrer nella richiesta HTTP.
Più di un quarto dei siti (29%) degli hotel non hanno criptato il link iniziale mandato nella email che contiene l’ID. Un potenziale malintenzionato potrebbe quindi intercettare le credenziali del cliente che clicca sul link HTTP nell’email per, ad esempio, vedere o addirittura modificale la prenotazione. Questo può succedere negli hotspot pubblici, quali aeroporti o hotel, a meno che l’utente non protegga la connessione con software VPN.
Questo non è un problema solo degli hotel, in quanto è condiviso anche da linee aeree, attrazioni per vacanze, e altri siti web.
Dopo l’entrata in vigore del GDPR, i dati sensibili degli utenti in Europa dovrebbero essere protetti molto meglio di così, specialmente in queste circostanze.
Wueest ha contattato i responsabili della privacy degli hotel con questo problema e li ha contattati riguardo la sua scoperta. Il 25% di loro, non ha risposto nelle sei settimane successive. Chi di loro ha risposto alla mail, l’ha fatto prendendosi non meno di dieci giorni per rispondere, in media. Alcuni hanno riferito che stanno risolvendo il problema, altri invece dicono che stanno agendo nel pieno rispetto della GDPR.
Purtroppo, chi non si occupa della protezione di quei siti può fare ben poco per risolvere il problema. Si può, però, non incappare in errore in primo luogo, come controllare che i link siano criptati o che i propri dati personali, quali ad esempio l’indirizzo email, sia passato come dato visibile nell’URL. Sfortunatamente questo può non rivelarsi così semplice per chi non ne mastica.
Il fatto che questo problema esista ancora nonostante il GDPR in vigore in Europa, suggerisce che la sua implementazione non ha completamente affrontato il modo in cui le organizzazioni rispondono alla perdita di dati. Più di 200.000 casi di violazioni di GDPR e violazione dei dati sono stati riportati finora, e i dati personali degli utenti sono ancora in pericolo.