Booking.com警告：用戶預訂數據可能已遭未授權訪問

Booking.com近日開始向受影響用戶發送郵件，提醒他們的預訂信息可能已被未知攻擊者獲取。這一事件再次表明，這家旅游巨頭在保護平臺數據流轉方面仍存在明顯漏洞。

公司在郵件中表示，"未經授權的第三方"可能訪問了與用戶賬戶相關的預訂信息，涉及內容包括姓名、聯系方式、預訂日期，以及用戶通過平臺與酒店之間的往來消息。

盡管Booking.com強調財務數據未受波及，但對于受影響用戶的具體數量，公司卻幾乎只字不提。截至目前，Booking.com未回應《The Register》的置評請求。

據《The Register》獲取的一封致受影響用戶的郵件顯示，Booking.com表示已檢測到可疑活動，對問題進行了處置，并出于預防目的重置了預訂PIN碼。同時，公司提醒用戶警惕釣魚攻擊，考慮到泄露數據的性質，這一風險尤為突出。

郵件原文寫道："我們近期發現了影響部分客人預訂的可疑活動，這可能導致未經授權的第三方能夠訪問相關預訂信息。我們正在向客人發送郵件，告知其預訂確認書的PIN碼已被更改，以保障預訂安全。"

此次泄露的數據雖不涉及信用卡信息，但恰恰是制造高度逼真釣魚郵件所需的素材。事實上，Booking.com平臺內置的消息系統此前已多次被濫用——通常在酒店賬戶遭攻擊后，合法的溝通渠道便成為傳播支付詐騙的工具。

目前，Booking.com尚未說明數據被訪問的具體方式、此次事件是否與合作伙伴系統遭入侵有關，以及數據暴露持續了多長時間才被發現。

這也并非Booking.com首次陷入類似困境。2021年，荷蘭監管機構曾對該公司處以47.5萬歐元罰款，原因是一起數據泄露事件導致逾4,000名用戶的個人信息外泄，部分用戶的信用卡信息也未能幸免。該事件的根源在于攻擊者通過酒店員工登錄憑據滲透系統，屬于供應鏈層面的入侵，而非直接攻破Booking.com本身。類似的攻擊模式在旅游行業已多次重演。

若此次事件遵循相同路徑，數據泄露本身或許只是問題的一半。更迫切的威脅來自后續的釣魚攻擊——攻擊者利用真實預訂數據精心偽造看似合法的信息，輕易繞過用戶和基本安全檢測。

Q&A

Q1：Booking.com這次數據泄露具體泄露了哪些用戶信息？

A：根據Booking.com發送給受影響用戶的郵件，此次可能泄露的數據包括用戶姓名、聯系方式、預訂日期，以及用戶通過平臺與酒店之間的往來消息記錄。公司表示財務數據未受影響，但對受影響用戶的具體數量并未公開披露。

Q2：Booking.com數據泄露后用戶應該怎么做？

A：Booking.com建議用戶重點警惕釣魚攻擊。由于攻擊者可能掌握真實預訂信息，偽造的釣魚郵件或消息會顯得非常真實可信。用戶應避免點擊陌生鏈接，不要輕易提供支付信息，并通過Booking.com官方渠道核實任何與預訂相關的通知。此外，平臺已主動重置了受影響用戶的預訂PIN碼。

Q3：Booking.com之前發生過類似的數據安全事件嗎？

A：是的。2021年，Booking.com曾因一起數據泄露事件被荷蘭監管機構罰款47.5萬歐元，該事件導致超過4,000名用戶的個人數據外泄，部分涉及信用卡信息。當時的入侵方式是通過酒店員工賬戶滲透，屬于供應鏈攻擊，而非直接入侵Booking.com平臺。