Hotel e prenotazioni online, due siti su tre presentano falle nel trattamento dei dati personali

Uno studio condotto da Symantec su oltre 1.500 hotel ha rilevato che il 67% dei loro siti internet per le prenotazioni ha involontariamente perso i dati personali degli ospiti. Gli hotel coinvolti nello studio si trovano distribuiti in 54 paesi tra cui gli Stati Uniti, il Canada e molte nazioni dell’Unione europea, quest’ultime tenute a rispettare norme dettate dal Gdpr. L’indagine ha analizzato 45 siti web che gestiscono attivamente le prenotazioni di più di 1.500 hotel.

La perdita dei dati riguardava le email di conferma delle prenotazioni inviate dagli hotel agli utenti. Molti dei messaggi spesso includo un link attivo, che reindirizza l’utente a un sito web dove è possibile verificare la prenotazione prima di accedere fisicamente all’hotel. Questo link conteneva nell’url l’email e il numero di prenotazione dell’utente in modo visibile.

Come molte aziende, anche gli hotel condividono i dati personali degli utenti con terze parti il che significa che il codice di prenotazione e l’indirizzo email dell’utente possono essere visualizzati anche da loro, oltre che dall’hotel.

Ottenendo l’accesso al codice di prenotazione e all’email era possibile, a un possibile malintenzionato, risalire a tutti i dati che l’utente aveva inserito in fase di prenotazione, quali nome e cognome, indirizzo, numero di cellulare, numero di documento d’identità e in alcuni casi i dati della carta di credito utilizzata per il pagamento della caparra.

La ricerca di Symantec ha per di più rivelato che alcuni dei siti utilizzati dagli hotel per gestire le prenotazioni, non usavano una crittografia nell’invio dei collegamenti per le email di conferma, fornendo così agli eventuali aggressori un’ulteriore finestra d’azione.

Sebbene molti degli hotel coinvolti stiano aggiornando i criteri di protezione della privacy alcuni ancora non si stanno muovendo per risolvere il problema. Gli utenti possono proteggere la loro privaci utilizzando delle Vpn (virtual privare network) per compiere delle eventuali modifiche alla prenotazione. Inoltre è possibile controllare l’url del link fornito dall’hotel per confermare la prenotazione, per vedere se i dettagli della prenotazione sono esposti. Un ultimo accorgimento può essere compiuto notando se nel momento della prenotazione il sito internet utilizzi un protocollo crittografato https.

Fonte: Wired