Symantec ha rilasciato una nuova interessante ricerca dedicata alla sicurezza dei siti degli Hotel e dei loro sistemi di booking. Secondo quanto rilevato da Symantec la situazione sarebbe piuttosto preoccupante: in base a quanto rilevato, infatti, due terzi dei siti web analizzati gestirebbero in modo inadeguato i dati delle prenotazioni degli ospiti, permettendone l’accesso ad altri soggetti, come per esempio agenzie pubblicitarie e società di analisi, che non solo potrebbero a visualizzarli ma anche, eventualmente, a sfruttarli in modo illegittimo.
Il GDPR è rimasto "sulla carta"
Con l’avvicinarsi del primo anniversario dell’entrata in vigore della GDPR in Europa, quindi, i risultati emersi mettono in evidenza quanto l’implementazione della normativa sia ancora incompleta e poco efficente. Molti dei siti analizzati, infatti, utilizzerebbero sistemi di prenotazione che non sarebbero in grado di garantire la privacy dei loro fruitori, divulgando informazioni sensibili, dal nome completo, all’indirizzo e-mail fino ai dettagli della carta di credito e al numero di passaporto. L’accesso a queste informazioni consentirebbe a potenziali malintenzionati di visualizzare le prenotazioni e i dati personali, di modificarli e persino di cancellarli del tutto.
Il problema è particolarmente accentuato in quanto molti sistemi di prenotazione hanno l’abitudune di inviare ai clienti dei link ad accesso diretto, che non richiedono cioè alcuna autenticazione per accedere alle informazioni personali del cliente e ai dati della sua prenotazione. Tali link, infatti, potrebbero essere registrati – sotto forma di refferer – dai sistemi di analitycs, cosi come da ogni altro strumento di terze parti eventualmete installato sul sito web dell’hotel.
Il problema non è solo "informatico" ma anche di sicurezza fisica delle persone
I cyber-criminali ed i gruppi di attacco mirato sono, inoltre, sempre più interessati ai movimenti dei professionisti e degli impiegati governativi di alto profilo, come abbiamo avuto modo di apprendere dalla recente minaccia di gruppi APT come Whitefly. Con l’accesso a questi dati, eventuali malintenzionati potrebbero entrare in possesso di importanti informazioni che potrebbero permettergli di prendere di mira un obiettivo, sapere quanto tempo trascorre in un determinato luogo e perfino ottenere la sua posizione, il che, ha forti e preoccupanti implicazioni per talune categorie di individui come uomini politici, imprenditori rinomati e personaggi pubblici.
La reazione degli albergatori
La cosa che fa più scalpore è stata però, la reazione degli hotel alla comunicazione dei risultati di questa ricerca da parte di Symantec: il 25% dei responsabili della privacy non ha risposto entro cinque settimane, e coloro che hanno risposto, in media ci hanno messo 10 giorni. Altri hanno persino ammesso di essere ancora in fase di aggiornamento dei sistemi per allinearsi al GDPR.
Nel complesso, i risultati e le risposte delle strutture alberghiere interessate mostrano come la tutela della privacy non sia percepita come problema prioritario. La sensazione è che ci sia ancora molta strada da fare prima che queste strutture possano essere in grado di rispondere agli standard imposti dalla GDPR. Nel frattempo, i dati sensibili dei consumatori rimangono a rischio.
