パスワードを忘れた? アカウント作成
13885785 story
プライバシ

ホテルのオンライン予約システム、3分の2が意図せず外部サービスに予約情報を送信するとの調査結果 14

ストーリー by headless
予約 部門より
Symantecの調査によると、ホテルが自社サイトで提供するオンライン予約システムの67%が予約番号を意図せず外部のサービスプロバイダーへ送信しているそうだ(Symantec Blogsの記事PCMag.comの記事SlashGearの記事)。

調査は54か国・1,500軒以上の2つ星~5つ星ホテルを対象に行われた。調査対象はランダムに目的地を決めてホテルをWeb検索し、検索結果上位に含まれるホテルを抽出したという。

予約が完了すると確認メールが送られてくるが、57%は予約情報ページへの直リンクを記載していたそうだ。リンクはURLに予約番号と客のメールアドレスが引数として付加されており、客はログインすることなく予約情報の閲覧・変更が可能となる。しかし、多くのWebサイトは外部サービスプロバイダーによる広告やWeb解析、ソーシャルメディアアイコンといった外部のリソースを配置しているため、リソースをリクエストする際に引数を含めたURLがサービスプロバイダーへ送信されることになる。

これ自体はサービスプロバイダー側の責任ではないのだが、サービスプロバイダーに悪意のある従業員がいれば、予約情報へログインして個人情報を閲覧することや予約をキャンセルすることも可能となる。中には予約情報ページに個人情報を記載しない予約システムもあるものの、大半が客の名前や電子メールアドレス、住所、携帯電話番号、クレジットカード番号の下4桁、パスポート番号といった個人情報を記載しているそうだ。

さらに29%はHTTPSリンクを使用せず、HTTPリンクを確認メールに掲載しているため、空港などの公衆Wi-Fi接続でリンクをクリックすると攻撃者に盗み見られる可能性もある。予約手続きの過程や、ユーザーが自分でログインした後に予約情報をサービスプロバイダーへ送信するものもあるという。ホテルの比較・予約サービス5社についても調査したところ、2社が予約番号をサービスプロバイダーへ送信し、1社はHTTPリンクを使用していたとのこと。

このほか、予約番号が単なる連番であることから、総当たり攻撃により予約情報ページへログインできる可能性もある。予約情報ページへのアクセスが可能になった攻撃者は個人情報を収集してスパム送信に使用することや、勝手に予約をキャンセルするいやがらせも可能になる。競合他社が妨害のため予約をキャンセルする可能性も指摘されている。Symantecは各ホテルへ調査結果を連絡しているが、ホテル側の反応は鈍いようだ。
  • by Anonymous Coward on 2019年04月14日 5時58分 (#3598842)

    公開はしてませんがそれは仕様です

    Symantecの調査によると、ホテルが自社サイトで提供するオンライン予約システムの67%が予約番号を意図せず外部のサービスプロバイダーへ送信しているそうだ

    ここに返信
  • by Anonymous Coward on 2019年04月13日 23時03分 (#3598802)

    GETパラメータだけで認証&認可するとか、素人かな?工数不足かな?手抜きかな?

    ここに返信
    • by poquitin (42421) on 2019年04月15日 16時27分 (#3599413)

      私の加入している某会員制ホテルグループのアプリはもっとひどかった
      自分のアプリに自分の会員No.をひもづける時にまさかの無認証
      会員番号はただの数字なので、適当な番号を入れると他人の会員権とひもづいてしまう笑
      そしてその場ですぐにアプリによって予約や予約の取り消しができるようになる笑

      今までで見た一番ひどいシステム
      ホテル業界ってあんまり情報セキュリティの概念がないのかな

    • by Anonymous Coward on 2019年04月14日 0時50分 (#3598821)

      メールからログインなしですぐにリンククリック後に状況を見たいなら、こうするしかない。(ヨドバシのメールもそうね、一応個人情報は隠してあるけど)。
      利便性の問題でもある。

      • サーバ側でGETリクエストを受け取ったら、情報をセッションに保持してから、GETパラメータを持たないURLにリダイレクトすれば、
        現状のURL仕様のままでも「Web解析、ソーシャルメディアアイコンといった外部のリソース」にGETパラメータを知らせないようにはできますね。

        まあ、クッキーが使えない/使わないブラウザで見れなくなるけど、今時そこまで気にする必要はなさそう。

        • by Anonymous Coward

          セッションIDに変換してGET、ないしはPOSTで遷移すれば良いのでは。
          IPアドレス変動環境(スマホ等)であればクッキーか不便のどちらかを受け入れてもらうしかないかな。

          …そもそもどの程度保護してればOKなんだろ。
          埋め込んだスクリプトからなら大概のことできちゃうわけで……
          結局トラッキング可能な外部リソースは最初から設置せず全排除が最適解かな。

        • by Anonymous Coward

          jsもcookieもオフにしてトラッキングブロックしてると生きづらい環境がこうしてできあがっていく…
          中にはgoogle analyticsのトラッキングjsが動かないとページ全体が死ぬサイトまである
          つらい

    • by Anonymous Coward

      Googleのマップかなんかの限定公開でもこんな感じでURLを知ってたら誰でもアクセスできてしまうガバガバ仕様だったことがあったような

      • by Anonymous Coward

        それはURLを知っている人への公開という共有方法を選んだ場合の仕様
        そのアドレスを「こんな感じ」で抜き取る方法があったのならガバガバ仕様なのでしょうが、
        そのアドレスを抜き取る方法はあったのでしょうか?

    • by Anonymous Coward

      顧客の要望ってやつですね。
      そう実装するしかなくなる。
      最も馬鹿な担当がそう言っているだけって気もするけれど。

      • by Anonymous Coward

        予約に会員登録を必須とする→カネがかかる&客が逃げる
        メールに記載のアドレスからのGET+二段階認証→カネがかかる

        こういう理由でシステム発注者に拒否されるんでしょうね…

    • by Anonymous Coward

      本当に予約できたのか見たいだけならこれで十分だろ。
      キャンセルできたりするのが余分なだけで。
      # どうせ、ダブルブッキングにならない保証はないから。

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...