七大知名酒店被曝泄露數千萬條開房信息

中國網2月15日訊 日前，漏洞盒子平台的安全報告指出，知名連鎖酒店桔子、錦江之星、速八、布丁；高端酒店萬豪酒店集團(萬豪、麗思卡爾頓等)、喜達屋集團(喜來登、艾美、W酒店等)、洲際酒店集團(假日等)存在嚴重安全漏洞，房客開房信息一覽無余，還可對酒店訂單進行修改和取消。

報告指出，喜達屋酒店集團的漏洞位於喜達屋集團官網，通過這一漏洞黑客可進行訂單詳細的查詢，獲取大量訂單信息，訂單詳情包括姓名，入住日期，客房費用，信用卡后四位，信用卡截止日期，郵件，地址等等，並可對訂單進行修改、取消等操作；而萬豪國際集團旗下的多個酒店品牌均存在嚴重漏洞，該漏洞可導致黑客任意查看酒店訂單，訂單信息包括姓名、電話、信用卡、地址、入住/退房時間、房型、住宿費用等敏感信息；洲際集團官網的高危安全漏洞則可導致黑客獲取酒店用戶訂單，包含姓名、住址、郵箱、入住/退房時間、住宿費用等敏感信息。

對於國內知名連鎖酒店品牌，漏洞盒子白帽子提交出了錦江之星的一枚漏洞，表示該漏洞出現在其微信介面上，可導致黑客直接訪問其訂單，涉及2013-2015年的千萬級訂單，包含姓名、電話、住宿費用、入住時間、房型等敏感信息，並可任意查詢、取消訂單；而速8酒店被曝出的漏洞則可導致黑客輕鬆對酒店的訂單進行取消操作，且無任何身份驗證過程。

值得一提的是，報告指出布丁酒店和橘子酒店的漏洞極其嚴重：布丁酒店，黑客可以利用漏洞獲取大量酒店顧客的訂單信息(包含個人信息)，並且可以在完全不需要驗證的情況下修改用戶密碼；而桔子酒店官網漏洞問題則更恐怖——2008年-2015年的所有酒店訂單、開房信息可一覽無余，包括顧客姓名、身份證、手機號、開房時間、退房時間、家庭住址……除可能泄漏大量訂單、開房信息的漏洞外，桔子后台也被曝出了安全問題。攻擊者可使用最高權限查看酒店管理系統，系統內容豐富，包括桔子各分店管理、部門組織架構等。

在要求實名制入住的酒店業，隨當下越來越多的用戶用酒店官網及手機APP訂房，這些漏洞無疑對用戶隱私信息的保護形成巨大威脅。(韋易)