O e-mail de confirmação de reservas de um quarto de hotel pode trazer uma falha de segurança que vaza os dados informados pelos clientes. Foi o que descobriu um estudo, publicado nesta terça-feira (9), da Symantec.

A companhia analisou reservas online de mais de 1.500 hotéis, em 45 sites diferentes e em 54 países, incluindo os Estados Unidos, Canadá e nações da União Europeia. O estudo englobou hotéis de duas estrelas a resorts de praia de cinco estrelas e de hotéis boutique a grandes redes de hotelaria. O resultado foi que 67%, ou dois de três, deles estavam vazando informações pessoais dos hóspedes para sites de terceiros, como serviços de anunciantes, empresas de análise de dados, mecanismos de busca e redes sociais reconhecidas.

As informações eram vazadas por meio do e-mail de confirmação da reserva que os sites enviam para os consumidores, de acordo com o principal pesquisador de ameaças da Symantec, Candid Wueest. Muitas dessas mensagens incluem um link ativo que direciona o usuário para o acesso ao site, com a descrição da sua reserva, sem precisar fazer login na página. Com a análise desses e-mails, Wueest percebeu que, frequentemente, o código da reserva e o e-mail do cliente estavam no próprio URL do link.

Porém, esse fato isolado não é o principal problema. Assim como muitas empresas, hotéis compartilham os dados pessoais e de acesso dos clientes com páginas de terceiros vinculadas aos sites da reserva.

Mas, com a falha de segurança no link de confirmação e como os sites carregam conteúdos de terceiros na mesma página da reserva, as informações de acesso do usuário são diretamente compartilhadas – apenas ao entrar no site – ou indiretamente, por meio do código de reserva e o e-mail dos usuários visíveis na URL do link.

Desse modo, um invasor conseguiria acessar o código de reserva e o e-mail para encontrar endereço, nome completo, número do celular, número do passaporte e números e informações do cartão cadastrado do usuário. Informações que podem permitir que criminosos façam login em uma conta, vejam dados sigilosos e até cancelem a reserva.

Além disso, o estudo descobriu que 29% dos sites de hotéis não criptografam os links enviados nos e-mails de confirmação. Isso permite que invasores interceptem as credenciais dos clientes que clicarem no link. Wueest observou ainda que o compartilhamento indevido de informações confidenciais por meio da URL é predominante entre os sites de busca de viagens, como os companhias aéreas.

Um representante da Symantec disse ao Engadget que a empresa contatou os hotéis com a falha de segurança e que a maioria afirmou que está tomando medidas para resolver o problema.

Como evitar o vazamento dos dados

O estudo ponderou que o risco de privacidade com esse problema é baixo, pois os dados são compartilhados apenas com provedores de terceiros que são confiáveis pelos sites. Mas, um hacker pode tentar acessar os dados da reserva a partir de redes públicas de internet, como em aeroportos e hotéis.

Por isso, para proteger a privacidade, a Symantec aconselha que os usuários usem uma conexão VPN (rede privada virtual) para alterar sua reserva de hotel quando conectadas a um WiFi público. Além disso, a empresa sugere que as pessoas verifiquem o URL do link de confirmação recebido para ver se informações pessoais e os dados da reserva foram expostos. 

Um URL com a falha de segurança ficaria assim: https: //booking.the-hotel.tld/retrieve.php? Prn=1234567&mail=john_smith@myMail.tld