Symantec przyjrzał się ponad 1,5 tys. stron internetowych hoteli w 54 krajach.
Jak zwróciła uwagę agencja Reutera, raport z badań firmy ukazał się kilka miesięcy po informacjach o wycieku danych klientów sieci hoteli Marriott, uznawanych za jeden z najgorszych w historii. Według szacunków ekspertów z nienależycie zabezpieczonej bazy danych Starwood, którą hakerzy zaatakowali w 2016 r., wyciekły dane nawet 383 mln osób. Działania cyberprzestępców wykryto dopiero w listopadzie 2018 r. Hotele Marriotta nie zostały ujęte w badaniu Symanteca.
Według informacji przedstawionych przez firmę z infrastruktury informatycznej hoteli najczęściej wyciekają imiona i nazwiska oraz adresy e-mail klientów, a także ich numery paszportów i kart kredytowych. Symantec twierdzi, że informacje te zazwyczaj pozyskiwane są przez firmy analityczne i reklamowe, ale interesują się nimi też cyberprzestępcy, którzy mogą w ten sposób uzyskać wiedzę np. o podróżach wpływowych biznesmenów czy pracowników administracji rządowej.
Autorzy badania zwracają uwagę, że ryzykiem związanym z wyciekami danych jest także możliwość logowania się nieznanych osób na konta gości hotelowych w systemach rezerwacyjnych i np. odwoływanie rezerwacji czy zdobywanie dodatkowych danych osobowych.
Jak wykazali specjaliści Symantecu, zabezpieczenia stron hotelowych najczęściej zawodzą przy przesyłaniu szczegółów dokonywanych przez klientów rezerwacji drogą e-mailową. Odnośniki prowadzące do informacji o zamówionym noclegu zawierają specjalny kod identyfikacyjny, który może być podejrzany przez ponad 30 zewnętrznych podmiotów, w tym sieci społecznościowe, wyszukiwarki internetowe i firmy z branży analityki marketingowej - ostrzegają eksperci.
25 proc. hoteli przez sześć tygodni nie udzieliło odpowiedzi na pytania Symantecu dotyczące zabezpieczeń na ich stronach i praktyk ochrony danych osobowych. Przedstawiciele hoteli, które zdecydowały się odpowiedzieć zespołowi badawczemu na zadane pytania, zrobili to w ciągu 10 dni od otrzymania korespondencji. Jak podkreślają autorzy badania, niektóre hotele przyznały, iż wciąż pracują nad aktualizacją swoich systemów informatycznych tak, aby były w pełni zgodne z wymogami unijnego Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO, ang. GDPR), z 2016 roku, wdrożonego w maju ub. r.