Symantec ha reso noti i risultati di una nuova ricerca che rivela falle nei siti degli alberghi. Molti siti web di alberghi fanno fuoriuscire i dati sulla prenotazione e consentono l’accesso ai dati personali.
Sono ben due terzi, spiega Symantec, i siti web che disperdono inavvertitamente i dettagli delle prenotazioni degli ospiti. I leak espongono i dati a siti di terze parti, inclusi quelli di inserzionisti e società di analisi.
Ci stiamo avvicinando al primo anniversario dell’entrata in vigore del Gdpr, sottolinea Symantec. E i risultati emersi mettono in evidenza quanto l’implementazione della normativa abbia modificato il modo in cui le organizzazioni gestiscono la fuga di dati.
Siti di alberghi, colabrodo di dati
Gli esperti di Symantec hanno testato numerosi siti web, di oltre 1.500 alberghi in 54 Paesi. I siti testati spaziavano da alberghi di campagna a due stelle a lussuosi resort a cinque stelle sulla spiaggia. Alcuni siti erano parte di catene alberghiere grandi e rinomate.
Due su tre, o il 67 percento, di questi siti consentivano inavvertitamente il leak dei codici di riferimento delle prenotazioni su siti di terze parti. Tutti avevano una privacy policy, ma nessuno di loro menzionava questo comportamento in modo esplicito.
Non è certo un segreto, sottolinea la stessa Symantec, che gli inserzionisti monitorino le abitudini di navigazione degli utenti. In questo caso, però, le informazioni condivise potrebbero consentire a questi servizi di terze parti di accedere a una prenotazione. Nonché visualizzare i dettagli personali e persino cancellare del tutto la prenotazione.
Alcuni sistemi di prenotazione si sono comportati in modo encomiabile, in quanto hanno rivelato solo un valore numerico e la data del soggiorno. Non hanno dunque divulgato alcuna informazione personale.
Ma la maggior parte ha consentito l’accesso da parte di terzi a dati personali e informazioni sensibili. Dal nome completo all’indirizzo email, fino ai dettagli della carta di credito e al numero di passaporto.
Rischi e potenziali minacce
Hacker e gruppi di attacco mirato, sottolinea Symantec, sono sempre più interessati ai movimenti di importanti professionisti e di impiegati governativi. Lo ha evidenziato la stessa Symantec anche di recente, con la minaccia di gruppi APT come Whitefly.
Con l’accesso a questi dati, gli hacker si assicurano la possibilità di impossessarsi di importanti informazioni. Dati che potrebbero permettere loro di prendere di mira un obiettivo, sapere quanto tempo trascorre in un determinato luogo e perfino ottenere la sua posizione. Tutto ciò presenta chiaramente forti e preoccupanti implicazioni per gli individui di alto profilo.
Forse, sottolinea l’azienda, la cosa più sorprendente è stata la risposta degli alberghi dopo che Symantec ha provveduto a informarli dei risultati. Il 25% dei responsabili della privacy non ha risposto entro cinque settimane. E coloro che hanno risposto, in media ci hanno messo 10 giorni. Altri hanno persino ammesso di essere ancora in fase di aggiornamento dei sistemi per allinearsi al Gdpr.
Nel complesso, i risultati e le risposte degli alberghi interessati indicano che c’è ancora molta strada da percorrere prima che queste strutture possano essere in grado di rispondere agli standard imposti dalla Gdpr. Nel frattempo, evidenzia con una certa preoccupazione Symantec, i dati sensibili dei consumatori rimangono a rischio.
Maggiori informazioni e dettagli tecnici sulla ricerca condotta da Symantec sono disponibili su questa pagina del blog dell’azienda.
