Booking.com近日开始向受影响用户发送邮件,提醒他们的预订信息可能已被未知攻击者获取。这一事件再次表明,这家旅游巨头在保护平台数据流转方面仍存在明显漏洞。
公司在邮件中表示,"未经授权的第三方"可能访问了与用户账户相关的预订信息,涉及内容包括姓名、联系方式、预订日期,以及用户通过平台与酒店之间的往来消息。
尽管Booking.com强调财务数据未受波及,但对于受影响用户的具体数量,公司却几乎只字不提。截至目前,Booking.com未回应《The Register》的置评请求。
据《The Register》获取的一封致受影响用户的邮件显示,Booking.com表示已检测到可疑活动,对问题进行了处置,并出于预防目的重置了预订PIN码。同时,公司提醒用户警惕钓鱼攻击,考虑到泄露数据的性质,这一风险尤为突出。
邮件原文写道:"我们近期发现了影响部分客人预订的可疑活动,这可能导致未经授权的第三方能够访问相关预订信息。我们正在向客人发送邮件,告知其预订确认书的PIN码已被更改,以保障预订安全。"
此次泄露的数据虽不涉及信用卡信息,但恰恰是制造高度逼真钓鱼邮件所需的素材。事实上,Booking.com平台内置的消息系统此前已多次被滥用——通常在酒店账户遭攻击后,合法的沟通渠道便成为传播支付诈骗的工具。
目前,Booking.com尚未说明数据被访问的具体方式、此次事件是否与合作伙伴系统遭入侵有关,以及数据暴露持续了多长时间才被发现。
这也并非Booking.com首次陷入类似困境。2021年,荷兰监管机构曾对该公司处以47.5万欧元罚款,原因是一起数据泄露事件导致逾4,000名用户的个人信息外泄,部分用户的信用卡信息也未能幸免。该事件的根源在于攻击者通过酒店员工登录凭据渗透系统,属于供应链层面的入侵,而非直接攻破Booking.com本身。类似的攻击模式在旅游行业已多次重演。
若此次事件遵循相同路径,数据泄露本身或许只是问题的一半。更迫切的威胁来自后续的钓鱼攻击——攻击者利用真实预订数据精心伪造看似合法的信息,轻易绕过用户和基本安全检测。
Q&A
Q1:Booking.com这次数据泄露具体泄露了哪些用户信息?
A:根据Booking.com发送给受影响用户的邮件,此次可能泄露的数据包括用户姓名、联系方式、预订日期,以及用户通过平台与酒店之间的往来消息记录。公司表示财务数据未受影响,但对受影响用户的具体数量并未公开披露。
Q2:Booking.com数据泄露后用户应该怎么做?
A:Booking.com建议用户重点警惕钓鱼攻击。由于攻击者可能掌握真实预订信息,伪造的钓鱼邮件或消息会显得非常真实可信。用户应避免点击陌生链接,不要轻易提供支付信息,并通过Booking.com官方渠道核实任何与预订相关的通知。此外,平台已主动重置了受影响用户的预订PIN码。
Q3:Booking.com之前发生过类似的数据安全事件吗?
A:是的。2021年,Booking.com曾因一起数据泄露事件被荷兰监管机构罚款47.5万欧元,该事件导致超过4,000名用户的个人数据外泄,部分涉及信用卡信息。当时的入侵方式是通过酒店员工账户渗透,属于供应链攻击,而非直接入侵Booking.com平台。