Prenotare la camera d’hotel online è ormai consuetudine: si inseriscono i propri dati (nome, cognome, estremi del documento d’identità, mail, telefono, numero della carta di credito) e quando si arriva a destinazione è tutto a posto. Quasi. Un’indagine condotta dagli esperti di sicurezza di Symantec ha portato alla luce un possibile effetto collaterale delle prenotazioni online. Due siti su tre di hotel “perdono” i dati dei clienti.
L’indagine ha coinvolto 1.500 alberghi in 54 diversi Paesi del mondo, dalle locande più economiche ai resort extra lusso, ed è emerso che il 67% del campione si è perso involontariamente i dati degli utenti. Gli esperti hanno inoltre controllato cinque motori legati al mondo dei viaggi e dell’accoglienza, rilevando problemi simili. Molti dei siti esaminati, ad esempio, condividono mail di conferma e codici di prenotazione con terze parti (per lo più di inserzionisti e società di analisi), che non sempre hanno elevati standard di sicurezza.
Inoltre, spesso gli hotel non usano la cifratura per i link inviati via email. Per chiarezza, nella maggior parte delle prenotazioni il sistema informatico dell’hotel invia una mail di conferma ai clienti con un link di accesso diretto alla loro prenotazione. È una comodità per il cliente, perché basta fare clic sul link e vedere la prenotazione, senza fare l’accesso alla pagina. Se il link non è protetto, gli hacker potrebbero procurarsi i dati di accesso e, da lì, ottenere tutti gli altri. Per intenderci, è lo stesso problema rilevato tempo fa per alcune compagnie aeree. Analogamente a questo caso, il rischio d’interferenza di un hacker è remoto, ma non nullo.
Altra questione da non sottovalutare è che in molti casi il sistema genera un codice di prenotazione incrementale, ossia aggiungendo un’unità a quello precedente. Questo semplifica eventuali attacchi di brute force (che provano tutte le combinazioni numeriche fino ad “azzeccare” quella corretta). Sorprende il fatto che i problemi elencati violano le regole del GDPR (General Data Protection Regulation) in vigore in Europa, a cui tutti dovrebbero attenersi. Che cosa potrebbe fare un hacker? Ad esempio visualizzare i dati personali dei clienti o cancellare le prenotazioni.
Cosa si può fare per tutelarsi? Symantec suggerisce di fare le prenotazioni collegandosi da reti private protette da password. Se proprio non si può evitare di procedere alla prenotazione da una rete Wi-Fi pubblica (ed esempio in aeroporto), meglio servirsi almeno di una VPN (Virtual Private Network, Rete Privata Virtuale). Prima di cliccare sul link di conferma, poi, è saggio controllare per bene l’indirizzo (https://eccetera): solitamente quelli non sicuri espongono indirizzo mail e codice di prenotazione.