Cứ mỗi 3 khách sạn trên thế giới thì có tới hai khách sạn vô tình tiết lộ chi tiết cá nhân của khách đặt phòng cho các bên thứ ba, kể cả các hãng quảng cáo và phân tích dữ liệu, theo một cuộc nghiên cứu mà kết quả vừa được tập đoàn Symantec công bố hôm 10/4.
Những chi tiết cá nhân bị tiết lộ gồm đầy đủ tên họ, địa chỉ email, chi tiết của thẻ tín dụng và số hộ chiếu của khách hàng, những thông tin có thể bị những kẻ tội phạm trên mạng sử dụng,Tạp đoàn nghiên cứu rủi ro an ninh toàn cầu Symantec
Cuộc nghiên cứu xem xét hơn 1.500 trang web của các khách sạn tại 54 quốc gia, từ khách sạn 2 sao tới 5 sao, được tiến hành sau khi tập đoàn Khách sạn Marriott tiết lộ một trong các vụ rò rỉ thông tin tệ hại nhất trong lịch sử. Symantec cho biết khách sạn Marriott không được tham gia trong cuộc nghiên cứu này.
Những chi tiết cá nhân bị tiết lộ gồm đầy đủ tên họ, địa chỉ email, chi tiết của thẻ tín dụng và số hộ chiếu của khách hàng, những thông tin có thể bị những kẻ tội phạm trên mạng sử dụng, hoặc những kẻ chuyên theo dõi sự đi lại của các nhân vật có tiếng tăm hay có nhiều ảnh hưởng trên thương trường hoặc trong hệ thống công vụ của các chính phủ.
Symantec là một công ty phần mềm của Hoa Kỳ có trụ sở tại Mountain View, California, chuyên sản xuất phần mềm bảo mật, lưu trữ, và cung cấp dịch vụ chuyên nghiệp để hỗ trợ cho phần mềm của công ty. Công ty này có chi nhánh tại nhiều quốc gia trên thế giới.
Người dẫn đầu cuộc nghiên cứu này là ông Candid Wueest, nhà nghiên cứu chuyên về các mối đe dọa an ninh toàn cầu làm việc tại Dublin, Ireland. Ông nói:
“Trong khi ai cũng biết là các hãng quảng cáo thường theo dõi thói quen lướt mạng của người sử dụng, trong trường hợp này, những thông tin được chia sẻ có thể giúp cho các bên thứ ba truy cập hồ sơ đặt phòng, xem chi tiết cá nhân, và ngay cả hủy bỏ giao dịch đặt phòng khách sạn.”
Cuộc nghiên cứu cho thấy thông tin bị rò rỉ khi khách sạn gửi email xác nhận giao dịch với khách, kèm theo đường nối kết có chi tiết của khách đặt phòng. Mã số đi kèm có thể được chi sẻ với 30 công ty cung cấp dịch vụ khác nhau, kể cả các hệ thống mạng xã hội, công cụ dò tìm thông tin, và các dịch vụ quảng cáo hoặc phân tích dữ kiện.
Nhà nghiên cứu Wueest nói 25% các nhân viên đặc trách về quyền bảo mật và quyền riêng tư tại các khách sạn nơi xảy ra rò rỉ thông tin, không trả lời Symantec trong vòng 6 tuần từ khi được loan báo vấn đề, trong khi những khách sạn khác trung bình chờ tới 10 ngày mới phản hồi.
Ông Wueest nói một số khách sạn thừa nhận là họ vẫn đang cập nhật hệ thống của mình để thực thi đầy đủ luật mới về bảo vệ quyền riêng tư theo tinh thần Quy định bảo vệ dữ liệu chung (GDPR), đã có hiệu lực khoảng 1 năm nay. Quy định này đề ra những quy tắc nghiêm ngặt về cách các tổ chức phải xử lý vấn đề bảo mật, tránh nguy cơ rò rỉ thông tin cá nhân.