Symantec调查：67%酒店网站　意外泄漏订房客户资料

美国网络安全公司赛门铁克（Symantec Corporation）周三（10日）公布调查报告，指三分之二的酒店网站除与广告商分享顾客的浏览习惯，更可能让他们看到客户的个人资料，甚至预订房间资料。酒店营运商也可能在无意中帮了黑客的忙，让他们更易取得包括客户的全名、电邮地址、信用卡资料和护照号码等。

酒店会对预订房间的客人发出电邮，确认已为其做妥住宿安排。然而这些电邮中可能有一个保安漏洞，导致客户个人资料外泄。

Symantec调查54个国家共1500多家酒店的网站，发现67%无意中对外泄漏客户的个人资料。这些网站遍布美国、加拿大，部分位处欧洲。出事的网站由评级仅两星的汽车旅馆，到5星级的海滩渡假村都有。

这个保安漏洞存在于酒店发送给客户的电邮，Symantec主要威胁研究员Candid Wueest指出，这类电邮内文往往附有一个连结，用家点击后可打开一新的视窗并进入一个网站；他们可在重新登入的情况下，能取阅其订房资料，并在有需要时做出修改。连结通常包含预订号码以及客户的电邮地址。

这本来不是什么一回事，然而酒店跟很多公司一样，都会将客户资料跟第三方分享，除了用户的浏览习惯，客户的预订号码及电邮地址也会落入外部企业手中。对于黑客而言，他们则只需取得预订号码，便能将客户住址、全名、手提电话号码、护照号码以及其他敏感资料拿到手。

Symantec也发现少数酒店不会将订房确认电邮中的连结加密，这可能让黑客有机可乘。此外，Symantec虽有联络相关酒店，然而并非所有酒店都会采取行动。

Symantec建议，使用公共Wifi修改酒店订房选项的人，最好先启动VPN（虚拟私人互联网），而如果订房确认电邮中的连结跟以下的例子相似，便要格外小心：https://booking.酒店名称/retrieve.php?prn=预订号码&mail=你的电邮地址.tld

（Engadget／路透社）