多家酒店存嚴(yán)重安全漏洞 海量開房信息有泄露風(fēng)險(xiǎn)

責(zé)任編輯:editor04

2015-02-11 21:57:31

摘自:51CTO

根據(jù)漏洞盒子平臺(tái)安全報(bào)告,知名連鎖酒店桔子、錦江之星、速八、布丁;高端酒店萬豪酒店集團(tuán)(萬豪、麗思卡爾頓等)、喜達(dá)屋集團(tuán)(喜來登、艾美、W酒店等)、洲際酒店集團(tuán)(假日等)存在嚴(yán)重安全漏洞,房客開房信息一覽無余,還可對酒店訂單進(jìn)行修改和取消。

根據(jù)漏洞盒子平臺(tái)安全報(bào)告,知名連鎖酒店桔子、錦江之星、速八、布丁;高端酒店萬豪酒店集團(tuán)(萬豪、麗思卡爾頓等)、喜達(dá)屋集團(tuán)(喜來登、艾美、W酒店等)、洲際酒店集團(tuán)(假日等)存在嚴(yán)重安全漏洞,房客開房信息一覽無余,還可對酒店訂單進(jìn)行修改和取消。

喜達(dá)屋酒店集團(tuán)

喜達(dá)屋集團(tuán)是全球最大的飯店及娛樂休閑集團(tuán)之一,以其飯店的高檔豪華著稱,并擁有一項(xiàng)行業(yè)領(lǐng)先且備受贊譽(yù)的忠誠計(jì)劃–SPG 俱樂部(SPG),會(huì)員可獲得積分并將其兌換成客房住宿、客房升級和航班,且無日期限制。

集團(tuán)的品牌包括瑞吉(St. Regis)、豪華精選(The Luxury Collection)、W酒店(W Hotels)、艾美(Le Meridien)、威斯汀(Westin)、喜來登(Sheraton)、雅樂軒(Aloft)、源宿(Element),以及福朋(Four Points)。

漏洞描述:

據(jù)漏洞盒子白帽子提交的報(bào)告顯示,該漏洞位于喜達(dá)屋集團(tuán)官網(wǎng),通過這一漏洞黑客可進(jìn)行訂單詳細(xì)的查詢,獲取大量訂單信息,訂單詳情包括姓名,入住日期,客房費(fèi)用,信用卡后四位,信用卡截止日期,郵件,地址等等,并可對訂單進(jìn)行修改、取消等操作。

前兩天周杰倫在臺(tái)灣的婚禮就是在喜達(dá)屋集團(tuán)旗下的臺(tái)北W酒店舉行的哦~安全性如此之差,周董知道了會(huì)很生氣的!

根據(jù)漏洞盒子平臺(tái)安全報(bào)告,知名連鎖酒店桔子、錦江之星、速八、布丁;高端酒店萬豪酒店集團(tuán)(萬豪、麗思卡爾頓等)、喜達(dá)屋集團(tuán)(喜來登、艾美、W酒店等)、洲際酒店集團(tuán)(假日等)存在嚴(yán)重安全漏洞,房客開房信息一覽無余,還可對酒店訂單進(jìn)行修改和取消。

萬豪國際酒店集團(tuán)

多家酒店存嚴(yán)重安全漏洞 海量開房信息有泄露風(fēng)險(xiǎn)

萬豪國際集團(tuán)是全球首屈一指的酒店管理公司,旗下?lián)碛?3,800 家酒店、19 個(gè)酒店品牌,以及在全球各地的 3,800 家管理和特許經(jīng)營酒店任職的眾多員工。

多家酒店存嚴(yán)重安全漏洞 海量開房信息有泄露風(fēng)險(xiǎn)

旗下酒店品牌包括:萬豪(Marriott Hotels &Resorts),J.W萬豪(JW Marriott Hotels &Resorts),萬麗(RenaissanceHotels &Resorts),萬怡(Courtyard),萬豪居家(Residence Inn),萬豪費(fèi)爾菲得(Fairfield Inn),萬豪唐普雷斯(TownePlace Suites),萬豪春丘(SpringHill Suites),萬豪度假俱樂部(Marriott Vacation Club),麗思卡爾頓(Ritz-Carlton)等等。

漏洞描述:

漏洞盒子白帽子描述稱,萬豪國際集團(tuán)旗下多個(gè)酒店品牌均存在嚴(yán)重漏洞,該漏洞可導(dǎo)致黑客可以任意查看酒店訂單,訂單信息包括姓名、電話、信用卡、地址、入住/退房時(shí)間、房型、住宿費(fèi)用等敏感信息。

根據(jù)漏洞盒子平臺(tái)安全報(bào)告,知名連鎖酒店桔子、錦江之星、速八、布丁;高端酒店萬豪酒店集團(tuán)(萬豪、麗思卡爾頓等)、喜達(dá)屋集團(tuán)(喜來登、艾美、W酒店等)、洲際酒店集團(tuán)(假日等)存在嚴(yán)重安全漏洞,房客開房信息一覽無余,還可對酒店訂單進(jìn)行修改和取消。

洲際集團(tuán)

多家酒店存嚴(yán)重安全漏洞 海量開房信息有泄露風(fēng)險(xiǎn)

洲際集團(tuán)成立于1777年,是目前全球最大及網(wǎng)絡(luò)分布最廣的專業(yè)酒店管理集團(tuán),同時(shí)也是世界上客房擁有量最大(高達(dá)650,000間)、跨國經(jīng)營范圍最廣,分布將近100個(gè)國家,并且在中國接管酒店最多的超級酒店集團(tuán)。包括中國大陸25個(gè)省、區(qū)、市。

多家酒店存嚴(yán)重安全漏洞 海量開房信息有泄露風(fēng)險(xiǎn)

旗下?lián)碛兄揠H、皇冠假日、假日酒店等多個(gè)國際知名酒店品牌。

漏洞描述:

漏洞盒子白帽子在提交的報(bào)告中表示,洲際集團(tuán)官網(wǎng)存在高危安全漏洞可導(dǎo)致黑客獲取酒店用戶訂單,包含姓名、住址、郵箱、入住/退房時(shí)間、住宿費(fèi)用等敏感信息。

多家酒店存嚴(yán)重安全漏洞 海量開房信息有泄露風(fēng)險(xiǎn)

錦江之星

錦江之星是國內(nèi)知名的快捷酒店品牌,創(chuàng)立于1996年。至今,旗下各品牌酒店總數(shù)已超1000多家,分布在全國31個(gè)省、直轄市,200多個(gè)城市??头靠倲?shù)超100000間。

漏洞描述:

漏洞盒子白帽子近日提交了錦江之星的一枚漏洞,該漏洞出現(xiàn)在其微信接口上,可導(dǎo)致黑客直接訪問其訂單,涉及2013-2015年的千萬級訂單,包含姓名、電話、住宿費(fèi)用、入住時(shí)間、房型等敏感信息,并可任意查詢、取消訂單。

多家酒店存嚴(yán)重安全漏洞 海量開房信息有泄露風(fēng)險(xiǎn)

桔子酒店集團(tuán)

桔子酒店集團(tuán)是國內(nèi)知名設(shè)計(jì)師酒店集團(tuán),成立于2006年,目前運(yùn)營近30家酒店,覆蓋北京、天津、杭州、南京、大連、寧波、揚(yáng)州、上海等城市。旗下包括桔子水晶酒店、桔子酒店·精選和桔子酒店三個(gè)品牌。其中桔子水晶酒店更是號(hào)稱設(shè)施已經(jīng)超過絕大部分國際五星級酒店水平,主題豐富,情調(diào)各異,正是情侶、小資過節(jié)的好去處啊!

漏洞描述:

本次桔子酒店官網(wǎng)漏洞問題極其嚴(yán)重——2008年-2015年的所有酒店訂單、開房信息可一覽無余,包括顧客姓名、身份證、手機(jī)號(hào)、開房時(shí)間、退房時(shí)間、家庭住址……

咱們還能有點(diǎn)隱私了嗎?!

本次桔子酒店除可能泄漏大量訂單、開房信息的漏洞外,其后臺(tái)也被曝出安全問題。攻擊者可使用最高權(quán)限查看酒店管理系統(tǒng),系統(tǒng)內(nèi)容豐富,包括桔子各分店管理、部門組織架構(gòu)等。

多家酒店存嚴(yán)重安全漏洞 海量開房信息有泄露風(fēng)險(xiǎn)

速8酒店

多家酒店存嚴(yán)重安全漏洞 海量開房信息有泄露風(fēng)險(xiǎn)

速8酒店是世界著名的經(jīng)濟(jì)型連鎖酒店品牌,隸屬于全球酒店數(shù)最多的酒店集團(tuán)——溫德姆酒店集團(tuán),在美國、加拿大、中國、巴西均有運(yùn)營中和籌建中的酒店。截至2014年9月,速8全球酒店數(shù)量達(dá)2476家,約160000間客房。

漏洞描述:

在漏洞盒子白帽子提交的報(bào)告中顯示,此次速8酒店被曝出的漏洞將導(dǎo)致黑客可以輕松對酒店的訂單進(jìn)行取消操作,且無任何身份驗(yàn)證過程。

布丁酒店

布丁酒店是杭州住友酒店管理有限公司旗下,中國第一家時(shí)尚、新概念的連鎖酒店,酒店致力于為顧客創(chuàng)造快樂、自由、時(shí)尚的休息體驗(yàn)。2014年已在全國包 括北京、上海、天津、杭州、武漢、西安等60多個(gè)城市擁有400多家門店,1500萬會(huì)員。

漏洞描述:

據(jù)漏洞盒子白帽子描述,布丁酒店此次的漏洞十分嚴(yán)重,黑客可以利用該漏洞獲取大量酒店顧客的訂單信息(包含個(gè)人信息),并且可以在完全不需要驗(yàn)證的情況下修改用戶密碼。

多家酒店存嚴(yán)重安全漏洞 海量開房信息有泄露風(fēng)險(xiǎn)

當(dāng)下越來越多的用戶開始使用酒店官網(wǎng)及手機(jī)APP訂房,在要求實(shí)名制入住的酒店業(yè),對用戶隱私信息的保護(hù)無疑是一項(xiàng)巨大挑戰(zhàn)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)