Uma pesquisa sobre possíveis ataques de formjacking em sites de hotéis recentemente, a Symantec encontrou um problema separado que poderia vazar dados pessoais de hóspedes. Em testes feitos em mais de 1.500 hotéis em 54 países espalhados por todo o mundo, foi constatado que dois a cada três, ou 67% desses sites estão vazando inadvertidamente códigos de referência de reservas para sites de terceiros, como anunciantes e empresas de análise de dados. Todos eles tinham uma política de privacidade, mas nenhuma delas mencionava esse comportamento de forma explícita.
Embora não seja segredo que as agências de publicidade estejam rastreando os hábitos de navegação dos usuários, neste caso, as informações compartilhadas poderiam permitir que esses serviços de terceiros se conectassem a uma reserva, visualizassem dados pessoais e até cancelassem toda a reserva.
Já faz quase um ano que o Regulamento Geral sobre a Proteção de Dados (GDPR) está em vigência na Europa, mas muitos hotéis afetados por esse problema têm sido muito lentos em reconhecê-lo, quanto mais em solucioná-lo.
Os sites que eu testados vão de hotéis com duas estrelas no interior a luxuosos resorts com cinco estrelas na praia, incluindo grandes redes, o que significa que a pesquisa para um hotel também se aplica aos outros hotéis da rede.
Alguns sistemas de reserva eram muito bons, pois só revelavam um valor numérico e a data da estadia, sem divulgar qualquer informação pessoal. Mas a maioria vazava dados pessoais, como: nome completo; endereço de e-mail; endereço postal; número de telefone celular; quatro últimos dígitos do cartão de crédito, tipo de cartão e data de vencimento; número do passaporte
Causas do vazamento
Mais da metade (57%) dos sites testados enviaram um e-mail de confirmação para os consumidores, com um link de acesso direto à reserva. Isso é oferecido como uma conveniência para o consumidor, permitindo que ele apenas clique no link e vá direto para sua reserva, sem ter de fazer login.
Como o e-mail requer um link estático, as solicitações web HTTP POST não são uma opção, o que significa que o código de referência e o endereço de e-mail são enviados como argumentos no próprio URL. Isoladamente, isso não seria um problema. Porém, muitos sites carregam diretamente conteúdo adicional na mesma página, como anúncios publicitários. Isso significa que o acesso direto é compartilhado diretamente com outros recursos, ou indiretamente, por meio do campo referência na solicitação HTTP. Em média, 176 solicitações são geradas por reserva, embora nem todas elas contenham as informações de reserva. Esse número indica que os dados poderiam ser amplamente compartilhados.
Há outros cenários em que os dados de reserva também podem ser vazados. Alguns sites encaminham as informações durante o processo de reserva, enquanto outros as vazam quando o consumidor faz login manualmente no site. Outros geram um token de acesso que é passado no URL em vez das credenciais, o que também não é uma boa prática.
Na maioria dos casos, os dados de reserva permanecem visíveis, mesmo se a reserva tiver sido cancelada, dando a um invasor uma ampla janela de oportunidade para roubar informações pessoais. Os mecanismos de metapesquisa e reserva dos hotéis parecem ser um pouco mais seguros. Dos cinco serviços que testados, dois vazaram as credenciais e um enviou o link de login sem criptografia. Alguns sites bem configurados que processam as credenciais primeiro e redirecionam depois de definirem um cookie, garantindo que os dados não sejam vazados.
Links não criptografados
O risco de privacidade com esse problema é baixo, considerando que os dados só são compartilhados com provedores terceiros considerados confiáveis pelos sites. Porém, é preocupante a descoberta de que mais de um quarto (29%) dos sites de hotéis não criptografam o link inicial enviado no e-mail que continha a ID. Um possível invasor poderia interceptar as credenciais do consumidor que clicar no link HTTP do e-mail, por exemplo, para visualizar ou modificar a reserva. Isso pode ocorrer em locais de acesso público, como o aeroporto ou o hotel, a menos que o usuário proteja a conexão com um software de VPN.
O compartilhamento acidental de informações sigilosas como argumentos de URL ou no campo referência é muito comum nos sites da web. Nos últimos anos, problemas similares ocorreram em vários sites de linhas aéreas, atrações de lazer, entre outros. Pesquisadores relataram problemas similares em janeiro de 2019, quando links não criptografados foram usados por vários provedores de serviços de linhas aéreas.
Outros problemas
Múltiplos sites permitem o uso de técnicas de força bruta na referência de reserva, além de ataques de enumeração. Em muitos casos, o código de referência da reserva é simplesmente incrementado de uma reserva para outra. Isso significa que se o invasor souber o e-mail ou sobrenome do consumidor, pode adivinhar o número de referência da reserva daquele consumidor e fazer login.
Esse ataque pode não escalar muito bem, mas é eficaz quando um invasor tem um alvo específico em mente ou quando o local do alvo é conhecido, por exemplo, um hotel onde há conferências. Em alguns sites, o e-mail ou nome do consumidor não são necessários no back-end – apenas um código de referência de reserva válido é requerido. Foram encontrados vários exemplos desses erros de programação, que permitiriam não só acessar todas as reservas ativas de uma grande rede de hotéis, mas também ver todos os bilhetes de vôo de uma linha aérea internacional.
Um mecanismo de reserva era inteligente o bastante para criar um código PIN aleatório para ser usado junto com o número de referência da reserva. Infelizmente, o login não estava vinculado à reserva sendo acessada. Por isso, um invasor poderia usar suas próprias credenciais válidas para fazer login e acessar qualquer reserva.
Quais são os riscos?
O 2019 Norton LifeLock Cybersecurity Insights Report revelou recentemente que os usuários estão cada vez mais preocupados com sua privacidade (83%), enquanto outros disseram que aceitam certos riscos para tornar a vida mais conveniente (61%).
Muitas pessoas compartilham regularmente detalhes de suas viagens publicando fotos nas redes sociais. Alguns nem tomam o cuidado de borrar ou esconder as referências de reserva em seus bilhetes. Esses indivíduos podem não estar muito preocupados com sua privacidade e talvez queiram que seus seguidores saibam tudo sobre suas viagens, mas prestariam mais atenção se, ao chegarem no hotel, descobrissem que suas reservas foram canceladas. Um invasor pode decidir cancelar uma reserva apenas por diversão ou por vingança pessoal, mas também para prejudicar a reputação de um hotel em um esquema de extorsão, ou como um ato de sabotagem executado por um concorrente.
Também ocorreram vários vazamentos de dados no setor de hotelaria e exposição de dados em buckets de dados mal configurados na nuvem. Essas informações poderiam então ser vendidas em mercados clandestinos ou usadas para cometer fraudes de identidade. Quanto mais completo o conjunto de dados coletados, mais valioso ele será.
Os fraudadores também podem usar os dados coletados dessa forma para enviar spam personalizado convincente ou fazer outros tipos de ataques de engenharia social. Fornecer informações pessoais pode aumentar a credibilidade de e-mails de extorsão que alegam que você foi invadido.
Além disso, grupos de ataques direcionados também podem ter interesse nos movimentos de profissionais das empresas e de funcionários públicos. Alguns grupos de APT, como DarkHotel/Armyworm, OceanLotus/Destroyer, Swallowtail e WhiteFly são conhecidos por terem comprometido alvos no setor de hotelaria. Há vários motivos para explicar o interesse desses grupos no setor de hotelaria, incluindo para fins de vigilância geral, rastreamento dos movimentos do alvo, identificação dos indivíduos que os acompanham, ou para descobrir quanto tempo uma pessoa ficará em um certo lugar. Isso também pode permitir o acesso físico ao local do alvo.
Resolvendo o problema
A Symantec entrou em contato com os profissionais de privacidade de dados (DPO) dos hotéis afetados. Surpreendentemente, 25% dos DPOs não responderam em até seis semanas. Um e-mail foi devolvido, pois o endereço de listado na política de privacidade não estava mais ativo. Em média, os que responderam levaram 10 dias. Aqueles que responderam confirmaram ter recebido as informações e se comprometeram a investigar o problema, para implementar qualquer alteração necessária.
Alguns alegaram que não se tratavam de dados pessoais e que os dados precisavam ser compartilhados com as agências de publicidade, conforme definido na política de privacidade. Alguns admitiram que ainda estão atualizando seus sistemas para obter a conformidade total com a GDPR. Outros hotéis que usavam serviços externos em seus sistemas de reservas demonstraram preocupação com a possibilidade dos provedores de serviços não estarem em conformidade com a GDPR, indicando que os hotéis podem não ter feito a seleção apropriada dos parceiros de serviços de reservas, conforme exigido pela regulamentação.
Os sites de reservas devem usar links criptografados (HTTPS) e garantir que nenhuma credencial seja vazada como argumento de URL, com o uso de cookies, por exemplo, conforme permitido pelas regras de privacidade, principalmente na Europa. Os consumidores podem verificar se os links são criptografados ou se dados pessoais como seu endereço de e-mail estão sendo passados como dados visíveis no URL.
Eles também podem usar serviços de VPN para minimizar a exposição em pontos de acesso públicos. Infelizmente, para os hóspedes comuns, identificar esses vazamentos pode não ser uma tarefa fácil, e eles podem não ter escolha se quiserem fazer a reserva em um hotel específico.
O fato de que esse problema existe, apesar da GDPR ter entrado em vigor na Europa há quase um ano, sugere que a implementação da nova lei não tratou completamente a forma como as empresas reagem ao vazamento de dados. Mais de 200.000 casos de violações da GDPR, reclamações e vazamentos de dados foram relatados até agora, e os dados pessoais dos usuários continuam em risco.