ホテルサイトの予約システム、3分の2が意図せず外部に予約情報送信

Symantecの調査によると、ホテルが自社サイトで提供するオンライン予約システムの67%が予約番号を意図せず外部のサービスプロバイダーへ送信しているそうだ(Symantec Blogsの記事、PCMag.comの記事、SlashGearの記事)。

調査は54か国・1,500軒以上の2つ星～5つ星ホテルを対象に行われた。調査対象はランダムに目的地を決めてホテルをWeb検索し、検索結果上位に含まれるホテルを抽出したという。

予約が完了すると確認メールが送られてくるが、57%は予約情報ページへの直リンクを記載していたそうだ。リンクはURLに予約番号と客のメールアドレスが引数として付加されており、客はログインすることなく予約情報の閲覧・変更が可能となる。しかし、多くのWebサイトは外部サービスプロバイダーによる広告やWeb解析、ソーシャルメディアアイコンといった外部のリソースを配置しているため、リソースをリクエストする際に引数を含めたURLがサービスプロバイダーへ送信されることになる。

これ自体はサービスプロバイダー側の責任ではないのだが、サービスプロバイダーに悪意のある従業員がいれば、予約情報へログインして個人情報を閲覧することや予約をキャンセルすることも可能となる。中には予約情報ページに個人情報を記載しない予約システムもあるものの、大半が客の名前や電子メールアドレス、住所、携帯電話番号、クレジットカード番号の下4桁、パスポート番号といった個人情報を記載しているそうだ。

さらに29%はHTTPSリンクを使用せず、HTTPリンクを確認メールに掲載しているため、空港などの公衆Wi-Fi接続でリンクをクリックすると攻撃者に盗み見られる可能性もある。予約手続きの過程や、ユーザーが自分でログインした後に予約情報をサービスプロバイダーへ送信するものもあるという。ホテルの比較・予約サービス5社についても調査したところ、2社が予約番号をサービスプロバイダーへ送信し、1社はHTTPリンクを使用していたとのこと。

このほか、予約番号が単なる連番であることから、総当たり攻撃により予約情報ページへログインできる可能性もある。予約情報ページへのアクセスが可能になった攻撃者は個人情報を収集してスパム送信に使用することや、勝手に予約をキャンセルするいやがらせも可能になる。競合他社が妨害のため予約をキャンセルする可能性も指摘されている。Symantecは各ホテルへ調査結果を連絡しているが、ホテル側の反応は鈍いようだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | YRO | プライバシ

　関連ストーリー：
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
Instagram、平文パスワードが含まれたURLを生成してしまう不具合 2018年11月21日
RSA Conferenceの公式モバイルアプリに脆弱性 2018年04月24日