英国信息专员办公室(ICO)已经对涉嫌泄露“大量”数据的旅馆预订网站HotelHippo.com展开了调查,该网站曾被一名信息安全顾问问责数据泄露情况“令人震惊”,而该公司在得知后对此毫不作为。最大的安全缺陷为通过修改URL中包含的预订单号就能查看其他客户的所有详细信息。 这个网站由HotelStayUK集团拥有,可以让游客来英格兰湖区旅游时寻找住宿的旅店,安全顾问Scott Helme访问网站时发现震惊的一串安全措施缺陷,可以说对恶意第三方数据收集完全敞开。首先他发现该站点仅有HTTP地址,而不是采用HTTPS安全协议。当试图打开HTTPS网址是会显示SSL错误,安全证书上显示的是另一个完全不同的域名。在预订过程中,他需要在支付之前就输入个人详细信息包括姓名地址,令他吃惊的是他的预订单号直接显示在地址栏中。(支付页面的页面网址直接包含预订单号) 于是直接通过修改URL中的预订单号,他发现居然可以直接访问网站其他客户的信息。包括客户的各种详细信息:姓名,地址,电话甚至连旅游的日期都一览无遗。他接着就在他博客上介绍了该网站详细的安全缺陷。 然后他于6月25日联系了HotelStayUK公司,告知其网站的安全缺陷。然而Helme的数份邮件与电话均遭到公司的忽视,HotelHippo.com直到7月1日都在线且未作修改。直到BBC新闻联系了该公司之后,网站才迅速下线。目前网站已经下线且显示错误信息,公司经理Chris Orrell否认了有人告知他相关信息。目前正进一步接受ICO调查。
