O e-mail de confirmação de reservas de um quarto de hotel pode trazer uma falha de segurança que vaza os dados informados pelos clientes. Foi o que descobriu um estudo, publicado nesta seman da Symantec.
A companhia analisou reservas online de mais de 1.500 hotéis, em 45 sites diferentes e em 54 países, incluindo os Estados Unidos, Canadá e nações da União Europeia. O estudo englobou hotéis de duas estrelas a resorts de praia de cinco estrelas e de hotéis boutique a grandes redes de hotelaria. O resultado foi que 67%, ou dois de três, deles estavam vazando informações pessoais dos hóspedes para sites de terceiros, como serviços de anunciantes, empresas de análise de dados, mecanismos de busca e redes sociais reconhecidas.
Novo vazamento do Facebook expõe dados de 540 milhões de usuários em servidores da Amazon
As informações eram vazadas por meio do e-mail de confirmação da reserva que os sites enviam para os consumidores, de acordo com o principal pesquisador de ameaças da Symantec, Candid Wueest. Muitas dessas mensagens incluem um link ativo que direciona o usuário para o acesso ao site, com a descrição da sua reserva, sem precisar fazer login na página. Com a análise desses e-mails, Wueest percebeu que, frequentemente, o código da reserva e o e-mail do cliente estavam no próprio URL do link.
Porém, esse fato isolado não é o principal problema. Assim como muitas empresas, hotéis compartilham os dados pessoais e de acesso dos clientes com páginas de terceiros vinculadas aos sites da reserva.
No entanto, com a falha de segurança no link de confirmação e como os sites carregam conteúdo de terceiros na mesma página da reserva, as informações de acesso do usuário são diretamene compartilhadas – apenas ao entrar no site – ou indiretamente, por meio do código de reserva e o e-mail dos usuários visíveis na URL do link.
Desse modo, um invasor conseguiria acessar o código de reserva e o e-mail para encontrar endereço, nome completo, número do celular, número do passaporte e números e informações do cartão cadastrado do usuário. Informações que podem permitir que criminosos façam login em uma conta, vejam dados sigilosos e até cancelem a reserva. Além disso, o estudo descobriu que 29% dos sites de hotéis não criptografam os links enviados nos e-mails de confirmação. Isso permite que invasores interceptem as credenciais dos clientes que clicarem no link. Wueest observou ainda que o compartilhamento indevido de informações confidenciais por meio da URL é predominante entre os sites de busca de viagens, como as companhias aéreas.