Security Professionals - ipfw add deny all from eindgebruikers to any

iCal integratie met bookings.com etc.

26-07-2018, 15:11 door Anoniem, 3 reacties
Beste forummers,

Ik heb eeb leuke site gebouwd voor een resort/hotel met eigen bookingssysteem (plugin). Dat is leuk want dan blijft de database lekker prive en zo werk ik graag.

Nu zit er een iCal synhchronisatie in (cron scriptje) waardoor heen- en weer de boekingen met sites als booking.com gesynchroniseerd kunnen worden. Handig, want dat voorkomt dubbele boekingen.


Daarvoor leest bookings.com ook de actuele agenda uit via iCal records. Affijn, toch maar eens naar die records gekeken. Wat blijkt? In die records worden doodleuk ALLE privegegeven van alle gasten meegestuurd. Dus ook alle directe boekingen die helemaal niet via booking.com zijn binnengekomen!!! Dat is lekker handig om te weten voor meneertje booking.com!!! Die kan gelijk alle gasten die niet bij hem winkelen gaan mailen en bellen enzovoort. En probleemloos want mijn klant van het resort is de feitelijke, zij het onwetende privacy schender!

Die plugin ga ik dus even wat aanpassen. Want ik lever niet graag rommel die mijn klant in problemen kan brengen. Even wat authenticatie aanbrengen en heel veel sterretjes over de gegevens velden.

Mijn klant is al niet zo blij met booking.coms, want die vragen behoorlijk commissie. Maarja, ze zijn wel groot. Veel bereik. Ik vraag me stilletjes af of ze misschien zo snel zo groot zijn geworden omdat ze wellicht wereldwijd alle reservaties met naam en toenaam uitlezen en daar natuurlijk hele leuke marketing mee kunnen doen? Plus een prachtig verkoopbare database hebben zonder problemen. Want die hotels sturen al die info "vrijwillig" op?!?!? Het lijkt op zo een "dubbel pakken" systeem. De hotels vet commissie laten betalen en ook nog gratis een gouden database opbouwen via de achterdeur.

Allereerst wil ik dat even delen hier, voor het algemeen security nut.
Daarnaast, ben ik best benieuwd naar ervaringen en meningen van anderen.
Reacties (3)
26-07-2018, 17:48 door Anoniem
Ik ben vergeten het testje te melden. Ook voor eventueel bezorgde hotels waar juist een Philips directeur heeft ingecheckt, en volgens mij niet met zijn echte vrouw....

De iCal URL van een kamer, die als koppeling wordt opgegeven aan bookingssites, even gewoon als geheel in een browser openen. Er downloadt dan een bestandje. Dat bestandje is in Notepad of welke editor ook te openen. Wat staat daar allemaal in?

Vergeet ook niet dat men gewend is om in hotels een pas te moeten tonen. Dus dat men gewend is, net als met vluchten boeken, prive gegevens zorgvuldig in te vullen. Want één voorletter verkeerd en Transavia neemt je niet mee. Ofwel gouden data, en geweldig voer voor alle dataminers om met andere databases te koppelen. En allerlei reclame ervaringen te "verbeteren" op sites.
26-07-2018, 18:18 door Anoniem
IMHO: Dat die gegevens gepubliceerd zijn is de schuld van je klant (en developer), niet van booking, die vragen enkel op.
26-07-2018, 18:36 door MathFox
Ik weet niet hoe netjes booking.com omgaat met de extra meegeleverde gegevens. Als het goed is hoort er een bewerkersovereenkomst te zijn waarin beschreven staat hoe booking met de gegevens van jouw klant hoort om te gaan.

Begrijp ik het goed dat de hotelagenda "gewoon" vanaf het Internet toegankelijk is? Dat is een potentieel privacylek van jewelste!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.