מסתבר שאחד הדברים המסוכנים ביותר שאתה יכול לעשות עבור הנתונים האישיים שלך הוא להזמין חדר במלון. זו המסקנה של סימנטק לאחר שבדקה יותר מ-1,500 אתרי מלונות הפרוסים על פני 54 מדינות שונות.
כְּמוֹכך מדווחת רויטרס, הסקירה שביצעה סימנטק גילתה ששניים מכל שלושה מלונות ידליפו את פרטי ההזמנה של האורחים. פרטים אלה כוללים שמות מלאים, כתובת דואר אלקטרוני, כתובת דואר, מספר נייד, פרטי כרטיס אשראי (ארבע הספרות האחרונות, סוג הכרטיס, תפוגה) ומספרי דרכונים. המידע נגיש לאתרי צד שלישי, מפרסמים וחברות ניתוח.
השאלות המתבקשות הן איך? ולמה? הנתונים האישיים שדולפים נובעים בעיקר מהאופן שבו בתי מלון שולחים מיילים לאישור. הם כוללים בדרך כלל קוד סימוכין, המקשר לכל פרטי ההזמנה ואינו מצריך התחברות כדי לגשת. רבע מאתרי המלונות גם לא מצפינים את הקישור, מה שמקל בהרבה על יירוט וגישה למידע.
מהירות אור ניתנת לריסוק
לְפִיסימנטק, ניתן לשתף התייחסות זו עם למעלה מ-30 ספקי שירות שונים, "כולל רשתות חברתיות, מנועי חיפוש ושירותי פרסום וניתוח". מנקודת מבטו של המלון, שיתוף המידע עם הלקוח בדרך זו הוא פשוט וקל לביצוע, אך הוא מתעלם בבירור מהאיום הביטחוני הנשקף ממנו.
Candid Wueest, חוקר האיומים הראשי ב-Symantec, הסביר, "אמנם זה לא סוד שמפרסמים עוקבים אחר הרגלי הגלישה של המשתמשים, אבל במקרה זה, המידע המשותף יכול לאפשר לשירותי צד שלישי אלה להיכנס להזמנה, לצפות בפרטים אישיים ואפילו בטל את ההזמנה לחלוטין."
אם הקלות שבה מועבר מידע אישי אינה מדאיגה מספיק, תגובות המלון לביקורת זו אמורות להפעיל פעמוני אזעקה. סימנטק יצרה קשר עם כולם, כאשר זמן התגובה הממוצע של קצין פרטיות מידע במלון נמשך 10 ימים. עם זאת, 25 אחוזים לא השיבו תוך שישה שבועות מהפנייה. נראה שאחת התגובה הנפוצה היא שהם, "עדיין מעדכנים את המערכות שלהם כך שיהיו תואמות לחלוטין ל-GDPR."
עוד בנובמבר, התגלה כי הפרטים האישיים של 500 מיליון אורחים במלונות Marriott International היונחשף בפריצת מסד נתונים. סימנטק לא כללה את מלונות מריוט בסקירה, מה שמחזק את העובדה שנראה כי מדובר בבעיה בתעשייה.
