英國旅店預訂網站安全缺陷嚴重 改訂單號即可查客戶信息

英國信息專員辦公室（ICO）已經對涉嫌泄露"大量"數據的旅館預訂網站HotelHippo.com展開瞭調查，該網站曾被一名信息安全顧問問責數據泄露情況"令人震驚"，而該公司在得知後對此毫不作為。最大的安全缺陷為通過修改URL中包含的預訂單號就能查看其他客戶的所有詳細信息。

這個網站由HotelStayUK集團擁有，可以讓遊客來英格蘭湖區旅遊時尋找住宿的旅店，安全顧問Scott Helme訪問網站時發現震驚的一串安全措施缺陷，可以說對惡意第三方數據收集完全敞開。首先他發現該站點僅有HTTP地址，而不是采用HTTPS安全協議。當試圖打開HTTPS網址是會顯示SSL錯誤，安全證書上顯示的是另一個完全不同的域名。在預訂過程中，他需要在支付之前就輸入個人詳細信息包括姓名地址，令他吃驚的是他的預訂單號直接顯示在地址欄中。（支付頁面的頁面網址直接包含預訂單號）

於是直接通過修改URL中的預訂單號，他發現居然可以直接訪問網站其他客戶的信息。包括客戶的各種詳細信息：姓名，地址，電話甚至連旅遊的日期都一覽無遺。他接著就在他博客上介紹瞭該網站詳細的安全缺陷。

然後他於6月25日聯系瞭HotelStayUK公司，告知其網站的安全缺陷。然而Helme的數份郵件與電話均遭到公司的忽視，HotelHippo.com直到7月1日都在線且未作修改。直到BBC新聞聯系瞭該公司之後，網站才迅速下線。目前網站已經下線且顯示錯誤信息，公司經理Chris Orrell否認瞭有人告知他相關信息。目前正進一步接受ICO調查。

---

Orignal From: 英國旅店預訂網站安全缺陷嚴重 改訂單號即可查客戶信息