Tal van hotels lekken de reserveringsgegevens van klanten via scripts van derde partijen die op hun websites draaien. Dat blijkt uit onderzoek van antivirusbedrijf Symantec. Voor het onderzoek werden de websites van meer dan 1500 hotels in 54 landen getest.

67 procent bleek reserveringscodes aan derde partijen te lekken, zoals adverteerders en analyticsbedrijven. Deze derde partijen zouden op de hotelreservering kunnen inloggen, persoonlijke gegevens van klanten kunnen bekijken en de reservering zelfs annuleren. Het probleem wordt door verschillende zaken veroorzaakt.

Zo sturen veel hotels een bevestigingsmail met daarin een link naar de reservering. Deze link laat de gebruiker direct inloggen op de reservering. Op tal van hotelsites draaien vaak third-party scripts voor advertenties en analytics die de inloglink van de klant, zodra die wordt geopend, krijgen doorgestuurd. Daarnaast zijn er ook nog veel hotels die een http-link om in te loggen versturen. Een aanvaller op een openbaar wifi-netwerk of in een man-in-the-middle-positie kan zo de gegevens onderscheppen en de reservering bekijken of aanpassen.

Onderzoeker Candid Wueest ontdekte ook dat bij sommige hotelsites de reserveringscode van klanten via een bruteforce-aanval is te achterhalen. Zo worden er bijvoorbeeld opeenvolgende reserveringsnummers gebruikt. Wueest stelt dat de meeste hotelsites persoonlijke data lekken zoals naam, e-mailadres, adresgegevens, telefoonnummer, laatste vier cijfers van creditcard, kaartsoort en verloopdatum en paspoortnummer.

Volgens de onderzoeker moeten hotels gebruikmaken van https-links en ervoor zorgen dat er geen gegevens als url-argument lekken. Klanten kunnen op hun beurt kijken of er een https-link wordt gebruikt of dat hun persoonlijke informatie, zoals e-mailadres, zichtbaar in de inloglink is. Verder wordt aangeraden om op openbare wifi-netwerken een vpn te gebruiken.