Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Potężny wyciek danych osobowych z 67% hoteli na świecie, czy nic nie znacząca drobnostka?
Świat obiegła mrożąca krew w żyłach wiadomość: w próbce 1500 hoteli (z 54 krajów), około 67% „wycieka” m.in. dane osobowe do zewnętrznych domen:
Symantec found that 67% of hotel websites are leaking guests’ booking and personal details
Tekst mimo, że napisany momentami średnio (niezaszyfrowane linki („Unencrypted links”) to np. linki http:// …) zwraca m.in. uwagę na dość istotny fakt. Wiele firm (w tym hotele) przesyła wrażliwe dane w parametrach znajdujących się w URL-u, np.:
https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld
I co z tego? Przecież mamy mamy https! No więc to, że cały URL może nam „wyciec” jeśli korzystamy z najrozmaitszych skryptów analityczno-marketingowych. Nasza przeglądarka (w tle i automatycznie) może wykonać tego typu zapytanie:
https://www.google-analytics.com/collect?v=1&_v=j73&a=438338256&t=pageview&_s=1&dl=https%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail%3Djohn%5Fsmith%40myMail.tld&dt=Your%20booking&sr=1920×1080&vp=1061×969&je=0&_u=SCEBgAAL~&jid=1804692919&gjid=1117313061&cid=1111866200.1552848010&tid=UA-000000-2&_gid=697872061.1552848010>m=2wg3b2MMKSS89&z=337564139
Podobna sprawa ma się z nagłówkiem Referer (tak, jest on wysyłany nawet jeśli używamy https – warunkiem jest to, aby 'docelowa’ domena również posiadała https). W tym przypadku można łatwo załatwić sprawę – ustawiając w naszej domenie nagłówek Referer-policy: no-referrer.
Jednak uniwersalnym, lepszym zaleceniem jest nie wysyłanie wrażliwych danych (w tym np. identyfikatorów sesji) w parametrach umieszczonych w URL.
–ms