セキュリティ企業シマンテックによると、ホテルウェブサイトの3分の2が宿泊客の個人情報を危険にさらしているという。影響を受けたホテルは、5つ星のビーチリゾートから地方の2つ星ホテルまで多岐にわたる。

第三者へのデータ送信

シマンテックの主任脅威研究者であるキャンディッド・ウエスト氏は、ホテルのウェブサイトに対する潜在的なフォームジャッキング攻撃を調査している際に、この発見をしました。彼は以下のことを発見しました。

これらのサイトのうち3つに2つ、つまり67%が、予約参照コードを広告主や分析会社などのサードパーティサイトに意図せず漏洩しています。これらのサイトはすべてプライバシーポリシーを定めていましたが、この行為について明示的に言及しているサイトはありませんでした。

彼は、「一部の予約システムは称賛に値する」と述べ、宿泊日と宿泊金額のみを表示するシステムもあった。しかし、氏名、住所、クレジットカード情報、パスポート番号などの個人情報が漏洩するシステムもあった。

この問題は、顧客に送信された確認メールに一部起因していました。多くのホテルサイトでは、予約IDを含むメール内のリンクが暗号化されていませんでした。また、ブルートフォース攻撃によって予約参照情報にアクセスされる可能性がありました。