Em uma pesquisa sobre possíveis ataques de formjacking em sites de hotéis , a Symantec encontrou um problema separado que poderia vazar dados pessoais de hóspedes. Em testes feitos em mais de 1.500 hotéis em 54 países espalhados por todo o mundo, foi constatado que dois a cada três, ou 67% desses sites estão vazando inadvertidamente códigos de referência de reservas para sites de terceiros, como anunciantes e empresas de análise de dados. Todos eles tinham uma política de privacidade, mas nenhuma delas mencionava esse comportamento de forma explícita.
Embora não seja segredo que as agências de publicidade estejam rastreando os hábitos de navegação dos usuários, neste caso, as informações compartilhadas poderiam permitir que esses serviços de terceiros se conectassem a uma reserva, visualizassem dados pessoais e até cancelassem toda a reserva.
Já faz quase um ano que o Regulamento Geral sobre a Proteção de Dados (GDPR) está em vigência na Europa, mas muitos hotéis afetados por esse problema têm sido muito lentos em reconhecê-lo, quanto mais em solucioná-lo.
Os sites que eu testados vão de hotéis com duas estrelas no interior a luxuosos resorts com cinco estrelas na praia, incluindo grandes redes, o que significa que a pesquisa para um hotel também se aplica aos outros hotéis da rede.
Alguns sistemas de reserva eram muito bons, pois só revelavam um valor numérico e a data da estadia, sem divulgar qualquer informação pessoal. Mas a maioria vazava dados pessoais, como: Nome completo; Endereço de e-mail; Endereço postal; Número de telefone celular; Quatro últimos dígitos do cartão de crédito, tipo de cartão e data de vencimento; e Número do passaporte
O que causa esses vazamentos?
Mais da metade (57%) dos sites testados enviaram um e-mail de confirmação para os consumidores, com um link de acesso direto à reserva. Isso é oferecido como uma conveniência para o consumidor, permitindo que ele apenas clique no link e vá direto para sua reserva, sem ter de fazer login.
Como o e-mail requer um link estático, as solicitações web HTTP POST não são uma opção, o que significa que o código de referência e o endereço de e-mail são enviados como argumentos no próprio URL. Isoladamente, isso não seria um problema. Porém, muitos sites carregam diretamente conteúdo adicional na mesma página, como anúncios publicitários.
Isso significa que o acesso direto é compartilhado diretamente com outros recursos, ou indiretamente, por meio do campo referência na solicitação HTTP. Em média, 176 solicitações são geradas por reserva, embora nem todas elas contenham as informações de reserva. Esse número indica que os dados poderiam ser amplamente compartilhados.
Resolvendo o problema
A Symantec entrou em contato com os profissionais de privacidade de dados (DPO) dos hotéis afetados. 25% dos DPOs não responderam em até seis semanas. Um e-mail foi devolvido, pois o endereço de listado na política de privacidade não estava mais ativo. Em média, os que responderam levaram 10 dias.
Aqueles que responderam confirmaram ter recebido as informações e se comprometeram a investigar o problema, para implementar qualquer alteração necessária.
Alguns alegaram que não se tratavam de dados pessoais e que os dados precisavam ser compartilhados com as agências de publicidade, conforme definido na política de privacidade. Outros admitiram que ainda estão atualizando seus sistemas para obter a conformidade total com a GDPR.
Uma parcela dos hotéis que usavam serviços externos em seus sistemas de reservas demonstraram preocupação com a possibilidade dos provedores de serviços não estarem em conformidade com a GDPR, indicando que os hotéis podem não ter feito a seleção apropriada dos parceiros de serviços de reservas, conforme exigido pela regulamentação.
Os sites de reservas devem usar links criptografados (HTTPS) e garantir que nenhuma credencial seja vazada como argumento de URL, com o uso de cookies, por exemplo, conforme permitido pelas regras de privacidade, principalmente na Europa.
Os consumidores podem verificar se os links são criptografados ou se dados pessoais como seu endereço de e-mail estão sendo passados como dados visíveis no URL. Eles também podem usar serviços de VPN para minimizar a exposição em pontos de acesso públicos. Infelizmente, para os hóspedes comuns, identificar esses vazamentos pode não ser uma tarefa fácil, e eles podem não ter escolha se quiserem fazer a reserva em um hotel específico.
O fato de que esse problema existe, apesar da GDPR ter entrado em vigor na Europa há quase um ano, sugere que a implementação da nova lei não tratou completamente a forma como as empresas reagem ao vazamento de dados. Mais de 200.000 casos de violações da GDPR, reclamações e vazamentos de dados foram relatados até agora, e os dados pessoais dos usuários continuam em risco.
