-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Potężny wyciek danych osobowych z 67% hoteli na świecie, czy nic nie znacząca drobnostka?

11 kwietnia 2019, 19:25 | W biegu | 0 komentarzy

Świat obiegła mrożąca krew w żyłach wiadomość: w próbce 1500 hoteli (z 54 krajów), około 67% „wycieka” m.in. dane osobowe do zewnętrznych domen:

Symantec found that 67% of hotel websites are leaking guests’ booking and personal details

Tekst mimo, że napisany momentami średnio (niezaszyfrowane linki („Unencrypted links”) to np. linki http:// …) zwraca m.in. uwagę na dość istotny fakt. Wiele firm (w tym hotele) przesyła wrażliwe dane w parametrach znajdujących się w URL-u, np.:

https://booking.the-hotel.tld/retrieve.php?prn=1234567&mail=john_smith@myMail.tld

I co z tego? Przecież mamy mamy https! No więc to, że cały URL może nam „wyciec” jeśli korzystamy z najrozmaitszych skryptów analityczno-marketingowych. Nasza przeglądarka (w tle i automatycznie) może wykonać tego typu zapytanie:

https://www.google-analytics.com/collect?v=1&_v=j73&a=438338256&t=pageview&_s=1&dl=https%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail%3Djohn%5Fsmith%40myMail.tld&dt=Your%20booking&sr=1920×1080&vp=1061×969&je=0&_u=SCEBgAAL~&jid=1804692919&gjid=1117313061&cid=1111866200.1552848010&tid=UA-000000-2&_gid=697872061.1552848010&gtm=2wg3b2MMKSS89&z=337564139

Podobna sprawa ma się z nagłówkiem Referer (tak, jest on wysyłany nawet jeśli używamy https – warunkiem jest to, aby 'docelowa’ domena również posiadała https). W tym przypadku można łatwo załatwić sprawę – ustawiając w naszej domenie nagłówek Referer-policy: no-referrer.

Jednak uniwersalnym, lepszym zaleceniem  jest nie wysyłanie wrażliwych danych (w tym np. identyfikatorów sesji) w parametrach umieszczonych w URL.

–ms

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz