根据漏洞盒子平台安全报告,知名连锁酒店桔子、锦江之星、速八、布丁;高端酒店万豪酒店集团(万豪、丽思卡尔顿等)、喜达屋集团(喜来登、艾美、W酒店等)、洲际酒店集团(假日等)存在严重安全漏洞,房客开房信息一览无余,还可对酒店订单进行修改和取消。
喜达屋酒店集团
喜达屋集团是全球最大的饭店及娱乐休闲集团之一,以其饭店的高档豪华著称,并拥有一项行业领先且备受赞誉的忠诚计划–SPG 俱乐部(SPG),会员可获得积分并将其兑换成客房住宿、客房升级和航班,且无日期限制。
集团的品牌包括瑞吉(St. Regis)、豪华精选(The Luxury Collection)、W酒店(W Hotels)、艾美(Le Meridien)、威斯汀(Westin)、喜来登(Sheraton)、雅乐轩(Aloft)、源宿(Element),以及福朋(Four Points)。
漏洞描述:
据漏洞盒子白帽子提交的报告显示,该漏洞位于喜达屋集团官网,通过这一漏洞黑客可进行订单详细的查询,获取大量订单信息,订单详情包括姓名,入住日期,客房费用,信用卡后四位,信用卡截止日期,邮件,地址等等,并可对订单进行修改、取消等操作。
前两天周杰伦在台湾的婚礼就是在喜达屋集团旗下的台北W酒店举行的哦~安全性如此之差,周董知道了会很生气的!
万豪国际酒店集团
万豪国际集团是全球首屈一指的酒店管理公司,旗下拥有 3,800 家酒店、19 个酒店品牌,以及在全球各地的 3,800 家管理和特许经营酒店任职的众多员工。
旗下酒店品牌包括:万豪(Marriott Hotels & Resorts),J.W万豪(JW Marriott Hotels & Resorts),万丽(RenaissanceHotels & Resorts),万怡(Courtyard),万豪居家(Residence Inn),万豪费尔菲得(Fairfield Inn),万豪唐普雷斯(TownePlace Suites),万豪春丘(SpringHill Suites),万豪度假俱乐部(Marriott Vacation Club),丽思卡尔顿(Ritz-Carlton)等等。
漏洞描述:
漏洞盒子白帽子描述称,万豪国际集团旗下多个酒店品牌均存在严重漏洞,该漏洞可导致黑客可以任意查看酒店订单,订单信息包括姓名、电话、信用卡、地址、入住/退房时间、房型、住宿费用等敏感信息。
洲际集团
洲际集团成立于1777年,是目前全球最大及网络分布最广的专业酒店管理集团,同时也是世界上客房拥有量最大(高达650,000间)、跨国经营范围最广,分布将近100个国家,并且在中国接管酒店最多的超级酒店集团。包括中国大陆25个省、区、市。
旗下拥有洲际、皇冠假日、假日酒店等多个国际知名酒店品牌。
漏洞描述:
漏洞盒子白帽子在提交的报告中表示,洲际集团官网存在高危安全漏洞可导致黑客获取酒店用户订单,包含姓名、住址、邮箱、入住/退房时间、住宿费用等敏感信息。
锦江之星
锦江之星是国内知名的快捷酒店品牌,创立于1996年。至今,旗下各品牌酒店总数已超1000多家,分布在全国31个省、直辖市,200多个城市。客房总数超100000间。
漏洞描述:
漏洞盒子白帽子近日提交了锦江之星的一枚漏洞,该漏洞出现在其微信接口上,可导致黑客直接访问其订单,涉及2013-2015年的千万级订单,包含姓名、电话、住宿费用、入住时间、房型等敏感信息,并可任意查询、取消订单。
桔子酒店集团
桔子酒店集团是国内知名设计师酒店集团,成立于2006年,目前运营近30家酒店,覆盖北京、天津、杭州、南京、大连、宁波、扬州、上海等城市。旗下包括桔子水晶酒店、桔子酒店·精选和桔子酒店三个品牌。其中桔子水晶酒店更是号称设施已经超过绝大部分国际五星级酒店水平,主题丰富,情调各异,正是情侣、小资过节的好去处啊!
漏洞描述:
本次桔子酒店官网漏洞问题极其严重——2008年-2015年的所有酒店订单、开房信息可一览无余,包括顾客姓名、身份证、手机号、开房时间、退房时间、家庭住址……
咱们还能有点隐私了吗?!
本次桔子酒店除可能泄漏大量订单、开房信息的漏洞外,其后台也被曝出安全问题。攻击者可使用最高权限查看酒店管理系统,系统内容丰富,包括桔子各分店管理、部门组织架构等。
速8酒店
速8酒店是世界著名的经济型连锁酒店品牌,隶属于全球酒店数最多的酒店集团——温德姆酒店集团,在美国、加拿大、中国、巴西均有运营中和筹建中的酒店。截至2014年9月,速8全球酒店数量达2476家,约160000间客房。
漏洞描述:
在漏洞盒子白帽子提交的报告中显示,此次速8酒店被曝出的漏洞将导致黑客可以轻松对酒店的订单进行取消操作,且无任何身份验证过程。
布丁酒店
布丁酒店是杭州住友酒店管理有限公司旗下,中国第一家时尚、新概念的连锁酒店,酒店致力于为顾客创造快乐、自由、时尚的休息体验。2014年已在全国包 括北京、上海、天津、杭州、武汉、西安等60多个城市拥有400多家门店,1500万会员。
漏洞描述:
据漏洞盒子白帽子描述,布丁酒店此次的漏洞十分严重,黑客可以利用该漏洞获取大量酒店顾客的订单信息(包含个人信息),并且可以在完全不需要验证的情况下修改用户密码。
当下越来越多的用户开始使用酒店官网及手机APP订房,在要求实名制入住的酒店业,对用户隐私信息的保护无疑是一项巨大挑战。
[作者/漏洞盒子,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)]