去年,华住集团旗下酒店5亿条用户个人信息疑遭泄露,万豪旗下喜达屋酒店数据库遭非法入侵致最多5亿客人信息被窃,酒店服务类网站的个人数据保护已经成为全球的热门话题。近日,赛门铁克公司发布了一个覆盖全球 54 个国家及地区的1,500 多家酒店网站的研究报告,结果发现,酒店网站存在网页表单内容劫持(Formjacking)的风险,其中三分之二 (67%) 的网站都在无意间将顾客预订信息泄露给广告商和分析公司等第三方网站。这些酒店网站均有隐私政策,但他们都没有在其中明确提到此类行为。
在行业内,广告商追踪用户浏览痕迹、了解用户的浏览习惯已不是秘密。但信息大范围共享会使得第三方能够登录顾客预订窗口,查看他们详细的个人信息,甚至故意取消其预订。《通用数据保护条例》(GDPR) 已经在欧洲施行了近一年之久,中国也在2017年6月推出了《网络安全法》,旨在监管网络安全、保护个人隐私和敏感信息,以及维护国家网络空间主权和安全。然而直至今日,仍有许多酒店迟迟不愿承认与面对,更没有及时采取应对措施去解决相关问题。
赛门铁克公司的研究员们随机选择了一些旅游景点,并检索了位于这些地点的不同级别的热门酒店。从乡村二星级普通酒店到豪华五星级海边度假村等等,一些大型知名连锁酒店的旗下品牌也被纳入测试范畴,这意味着赛门铁克公司的调查结果基本上可以反映业内普遍情况。其中部分网站的预订系统在隐私保护方面表现良好,只简单显示了基础数据和停留日期,并未透露任何个人信息。但绝大多数网站都泄露了如下个人数据:
姓名
电子邮件地址
邮寄地址
手机号码
信用卡后四位数字、卡类型和有效日期
护照号
图 1.预订信息样本 - 显示可能会泄露的顾客预订数据类型