多家知名连锁酒店、高端酒店海量开房信息存泄露风险

发布日期：2015-01-01

根据漏洞盒子平台安全报告，知名连锁酒店桔子、锦江之星、速八、布丁；高端酒店万豪酒店集团（万豪、丽思卡尔顿等）、喜达屋集团（喜来登、艾美、W酒店等）、洲际酒店集团（假日等）存在严重安全漏洞，房客开房信息一览无余，还可对酒店订单进行修改和取消。

喜达屋酒店集团

喜达屋集团是全球最大的饭店及娱乐休闲集团之一，以其饭店的高档豪华著称,并拥有一项行业领先且备受赞誉的忠诚计划–SPG 俱乐部（SPG），会员可获得积分并将其兑换成客房住宿、客房升级和航班，且无日期限制。集团的品牌包括瑞吉（St. Regis）、豪华精选（The Luxury Collection）、W酒店（W Hotels）、艾美（Le Meridien）、威斯汀（Westin）、喜来登（Sheraton）、雅乐轩（Aloft）、源宿（Element），以及福朋(Four Points)。

漏洞描述：

据漏洞盒子白帽子提交的报告显示，该漏洞位于喜达屋集团官网，通过这一漏洞黑客可进行订单详细的查询，获取大量订单信息，订单详情包括姓名，入住日期，客房费用，信用卡后四位，信用卡截止日期，邮件，地址等等，并可对订单进行修改、取消等操作。

连锁酒店信息泄露

万豪国际酒店集团

万豪国际集团是全球首屈一指的酒店管理公司，旗下拥有 3,800 家酒店、19 个酒店品牌，以及在全球各地的 3,800 家管理和特许经营酒店任职的众多员工。旗下酒店品牌包括：万豪（Marriott Hotels & Resorts），J.W万豪（JW Marriott Hotels & Resorts），万丽（RenaissanceHotels & Resorts），万怡（Courtyard），万豪居家（Residence Inn），万豪费尔菲得（Fairfield Inn），万豪唐普雷斯（TownePlace Suites），万豪春丘（SpringHill Suites），万豪度假俱乐部（Marriott Vacation Club），丽思卡尔顿（Ritz-Carlton）等等。

漏洞描述：

漏洞盒子白帽子描述称，万豪国际集团旗下多个酒店品牌均存在严重漏洞，该漏洞可导致黑客可以任意查看酒店订单,订单信息包括姓名、电话、信用卡、地址、入住/退房时间、房型、住宿费用等敏感信息。

连锁酒店信息泄露

洲际集团

洲际集团成立于1777年，是目前全球最大及网络分布最广的专业酒店管理集团，同时也是世界上客房拥有量最大（高达650,000间）、跨国经营范围最广，分布将近100个国家，并且在中国接管酒店最多的超级酒店集团。包括中国大陆25个省、区、市。旗下拥有洲际、皇冠假日、假日酒店等多个国际知名酒店品牌。

漏洞描述：

漏洞盒子白帽子在提交的报告中表示，洲际集团官网存在高危安全漏洞可导致黑客获取酒店用户订单，包含姓名、住址、邮箱、入住/退房时间、住宿费用等敏感信息。

连锁酒店信息泄露

锦江之星

锦江之星是国内知名的快捷酒店品牌，创立于1996年。至今，旗下各品牌酒店总数已超1000多家，分布在全国31个省、直辖市，200多个城市。客房总数超100000间。

漏洞描述：

漏洞盒子白帽子近日提交了锦江之星的一枚漏洞，该漏洞出现在其微信接口上，可导致黑客直接访问其订单，涉及2013-2015年的千万级订单，包含姓名、电话、住宿费用、入住时间、房型等敏感信息，并可任意查询、取消订单。

连锁酒店信息泄露

桔子酒店集团

桔子酒店集团是国内知名设计师酒店集团，成立于2006年，目前运营近30家酒店，覆盖北京、天津、杭州、南京、大连、宁波、扬州、上海等城市。旗下包括桔子水晶酒店、桔子酒店·精选和桔子酒店三个品牌。其中桔子水晶酒店更是号称设施已经超过绝大部分国际五星级酒店水平，主题丰富，情调各异，正是情侣、小资过节的好去处啊！

漏洞描述：

本次桔子酒店官网漏洞问题极其严重——2008年-2015年的所有酒店订单、开房信息可一览无余，包括顾客姓名、身份证、手机号、开房时间、退房时间、家庭住址……

连锁酒店信息泄露