Booking.com thotë se gabimet e shtypit që u japin të huajve akses në informacionin e udhëtimit privat nuk është një gabim
Ju mund të dëshironi të jeni tepër të kujdesshëm nëse po rezervoni udhëtime pushimesh për familjen dhe miqtë këtë vit përmes Booking.com. Një përdorues i habitur zbuloi kohët e fundit se një gabim shtypi në një adresë emaili mund të ndajë pa dashje informacionin privat të udhëtimit me të huajt, të cilët më pas mund të kenë akses në informacione të ndjeshme dhe potencialisht madje të marrin përsipër rezervimet që Booking.com shton automatikisht në llogaritë e tyre.
Ky problem doli në dritë pasi një përdorues i Booking.com, Alfie, mori një email që konfirmonte se kishte rezervuar një udhëtim që nuk e kishte bërë.
Në fillim, Alfie supozoi se ishte një tentativë phishing, kështu që ai shmangu klikim të ndonjë lidhjeje në email për të parandaluar ndonjë aktivitet keqdashës dhe në vend të kësaj shkoi drejtpërdrejt në llogarinë e tij në Booking.com për të verifikuar që informacioni i udhëtimit nuk ishte aty. Por në vend që të ndjente lehtësimin e ëmbël që llogaria e tij nuk ishte komprometuar, ai u trondit kur zbuloi se udhëtimi ishte rezervuar disi përmes llogarisë së tij.
Alfie i tha Ars se ishte “mjaft i sigurt” se nuk ishte hakuar, por nuk mund të shpjegonte se si rezervimi arriti atje. Ai kontaktoi një anëtar të ekipit mbështetës të Booking.com, i cili tha se gjithashtu dukej i befasuar, duke e lënë në pritje për 10 minuta dhe duke i thënë se “ata nuk kishin parë asgjë të tillë për shumë vite që kishin punuar atje”. Në fund të telefonatës, Alfie-t iu tha se çështja u përshkallëzua te ekipet e sigurisë, të cilët do ta ndiqnin brenda 48 orëve.
Por Booking.com nuk e ndoqi kurrë, duke e lënë Alfie në harresë. Gjatë ditëve në vijim, datat e rezervimit tek erdhën dhe shkuan pa asnjë përgjigje nga faqja e udhëtimit. I frustruar, Alfie iu drejtua Ars për të hetuar shqetësimet e tij për privatësinë dhe sigurinë, dhe Booking.com u shfaq në mënyrë të ngjashme evazive, duke iu përgjigjur shpejt Ars-it, por më pas përsëri heshti. U deshën javë të tëra për të marrë një përgjigje, por Booking.com përfundimisht shpjegoi saktësisht se çfarë ndodhi dhe pse nuk ka zgjidhje.
“Siguria dhe privatësia e informacionit të klientëve tanë janë një përparësi kryesore për Booking.com,” tha zëdhënësi i Booking.com për Ars. “Pas hetimit tonë, ne zbuluam se problemi ndodhi për shkak të një gabimi të futjes së klientit gjatë procesit të rezervimit, ku ai futi pa dashje një adresë emaili të pasaktë. Megjithatë, ajo adresë emaili i përkiste një klienti tjetër të Booking.com”-Alfie-“i cili bëri që rezervimi të lidhej me llogarinë e tyre.”
Për Booking.com, është thelbësore që përdoruesit të mund të rezervojnë udhëtime për përdorues të tjerë duke shtuar adresat e tyre të emailit në një rezervim, sepse kështu njerëzit rezervojnë shpesh udhëtimet së bashku. Dhe nëse ndodh që adresa e emailit e shtuar në një rezervim është gjithashtu e lidhur me një përdorues ekzistues të Booking.com, udhëtimi shtohet automatikisht në llogarinë e atij personi. Pas kësaj, nuk ka asnjë mënyrë që Booking.com ta heqë udhëtimin nga llogaria e të huajit, edhe nëse ka një gabim shtypi në email ose nëse plotësimi automatik shton domenin e gabuar të emailit dhe përdoruesi që rezervon udhëtimin nuk e vëren.
Sipas Booking.com, nuk ka asgjë për të rregulluar sepse kjo nuk është një “gabim i sistemit” dhe nuk ka pasur “shkelje sigurie”. Ajo që hasi Alfie është thjesht mënyra se si funksionon platforma, e cila, si çdo aplikacion ku përdoruesit futin informacione, ka potencial për gabime njerëzore.
Në fund, Booking.com nuk pranoi të hiqte udhëtimin nga llogaria e Alfie, duke thënë se kjo do të kishte cenuar privatësinë e përdoruesit që rezervonte udhëtimin. Zgjidhja e vetme ishte që Alfie të hiqte udhëtimin nga llogaria e tij dhe të pretendonte se nuk kishte ndodhur kurrë.
Alfie mbetet i shqetësuar, duke i thënë Ars: “Nuk mund të mos mendoj se kjo nuk mund të jetë e vetmja dukuri e kësaj çështjeje”. Por Jacob Hoffman-Andrews, një teknolog i lartë i stafit për grupin e të drejtave dixhitale, Electronic Frontier Foundation, i tha Ars se pasi foli me zhvilluesit e tjerë, “reagimi i tij i thellë” është se Booking.com nuk kishte shumë opsione për të parandaluar gabimet e shtypit. gjatë rezervimeve.
“Ka vetëm kaq shumë që ata mund të bëjnë për të mbrojtur njerëzit nga gabimet e tyre tipike,” tha Hoffman-Andrews.
Ndoshta shqetësimi më i madh i ekspozuar nga përvoja e Alfie përtej gabimeve të shtypit është praktika e Booking.com për të shtuar automatikisht rezervime në llogaritë e lidhura me email-et që përdoruesit që ata nuk i dinë i japin. Pasi udhëtimi të shtohet në llogarinë e dikujt, ai person në dukje mund të ketë akses në informacione të ndjeshme rreth përdoruesve që rezervojnë udhëtimin që Booking.com përndryshe nuk do t’i shpërndante.
Ndërsa u angazhua me anëtarin e ekipit mbështetës të Booking.com, Alfie i tha Ars se ai “hetoi për sa më shumë informacion të jetë e mundur” për të zbuluar se kush qëndron pas rezervimit të çuditshëm në llogarinë e tij. Dhe me sa duket, për shkak se rezervimi u shtua në llogarinë e Alfie, anëtari i ekipit mbështetës nuk e kishte problem të ndante informacione të ndjeshme që shkonin përtej emrit të plotë dhe katër shifrave të fundit të kartës së kreditit të përdorur për rezervimin, të cilat ishin renditur në informacionin e udhëtimit si parazgjedhje.
“Më zbuluan adresën e plotë të emailit të personit që bëri rezervimin, si dhe shtetin në të cilin ndodheshin”, tha Alfie për Ars. “Me këtë informacion, ishte e parëndësishme të identifikohej individi përmes LinkedIn.”
Alfie ngriti shqetësime në Ars për zgjidhjen e Booking.com, duke sugjeruar se duhet të kërkohet një lloj vërtetimi përpara se Booking.com të shtojë udhëtime në llogarinë e një përdoruesi. Ai kishte frikë se njerëzit me qëllime të këqija mund të përfitonin nga gabimet e shtypit dhe mund të dëmtonin njerëzit që rezervonin udhëtime duke ngatërruar ndoshta me rezervimin ose duke zbuluar se ku jetojnë njerëzit që shpërndanë informacione gabimisht dhe duke synuar shtëpitë e tyre ndërsa janë me pushime.
“Potenciali që kjo të shkojë shumë keq është mjaft shqetësuese,” i tha Alfie Ars. “Të lejosh aksesin në të gjitha detajet e një rezervimi dikujt tjetër nëpërmjet aktit të thjeshtë të futjes aksidentale të një adrese emaili të pasaktë – pa asnjë formë vërtetimi – duket si një ide vërtet e keqe. Që m’u dhanë qëllimisht të gjitha detajet e nevojshme për të marrë pronësinë të (dhe/ose të marrë pjesë?!?) ky rezervim është i frikshëm.”
Hoffman-Andrews i tha Ars se ndërsa gabimet e shtypit duken të pashmangshme, Booking.com mund ta rregullojë problemin duke krijuar aftësi për përdoruesit që të anulojnë rezervimet pa dashje duke ftuar të huajt të marrin pjesë.
“Duket sikur bashkëngjitja e atij udhëtimi në llogarinë e dikujt në Booking.com dhe mos lejimi i përdoruesit fillestar ta thërrasë atë dhe të thotë, “ops, zhbëje atë pjesë”, mund “teorikisht” të zbatohet, tha Hoffman-Andrews për Ars.
Alfie i tha Ars se ai nuk ka plane të ndalojë përdorimin e Booking.com për shkak të përvojës së çuditshme, por ra dakord që përdoruesit duhet të jenë në gjendje të ndërpresin të huajt kur atyre u dërgohen aksidentalisht informacione private të udhëtimit që Hoffman-Andrews tha se janë “padyshim shumë të ndjeshme. “
“Po sikur personi që prenotonte ta kuptonte gabimin e tij pas faktit?” tha Alfie. “Nuk duket se ka ndonjë mënyrë që ata ta zhbëjnë këtë, dhe ata sigurisht nuk mund të zhbënin emailin e automatizuar që tashmë është dërguar që përmban një pjesë të mirë të informacionit.”