日前，漏洞盒子平臺的安全報告指出，知名連鎖酒店桔子、錦江之星、速八、布丁;高端酒店萬豪酒店集團(tuán)(萬豪、麗思卡爾頓等)、喜達(dá)屋集團(tuán)(喜來登、艾美、W酒店等)、洲際酒店集團(tuán)(假日等)存在嚴(yán)重安全漏洞，房客開房信息一覽無余，還可對酒店訂單進(jìn)行修改和取消。每家酒店泄露的數(shù)據(jù)量都達(dá)千萬條以上。

　　報告指出，喜達(dá)屋酒店集團(tuán)的漏洞位于喜達(dá)屋集團(tuán)官網(wǎng)，通過這一漏洞黑客可進(jìn)行訂單詳細(xì)的查詢，獲取大量訂單信息，訂單詳情包括姓名，入住日期，客房費(fèi)用，信用卡后四位，信用卡截止日期，郵件，地址等等，并可對訂單進(jìn)行修改、取消等操作;而萬豪國際集團(tuán)旗下的多個酒店品牌均存在嚴(yán)重漏洞，該漏洞可導(dǎo)致黑客任意查看酒店訂單,訂單信息包括姓名、電話、信用卡、地址、入住/退房時間、房型、住宿費(fèi)用等敏感信息;洲際集團(tuán)官網(wǎng)的高危安全漏洞則可導(dǎo)致黑客獲取酒店用戶訂單，包含姓名、住址、郵箱、入住/退房時間、住宿費(fèi)用等敏感信息。

　　對于國內(nèi)知名連鎖酒店品牌，漏洞盒子白帽子提交出了錦江之星的一枚漏洞，表示該漏洞出現(xiàn)在其微信接口上，可導(dǎo)致黑客直接訪問其訂單，涉及2013-2015年的千萬級訂單，包含姓名、電話、住宿費(fèi)用、入住時間、房型等敏感信息，并可任意查詢、取消訂單;而速8酒店被曝出的漏洞則可導(dǎo)致黑客輕松對酒店的訂單進(jìn)行取消操作，且無任何身份驗證過程。

　　值得一提的是，報告指出布丁酒店和橘子酒店的漏洞極其嚴(yán)重：布丁酒店，黑客可以利用漏洞獲取大量酒店顧客的訂單信息(包含個人信息)，并且可以在完全不需要驗證的情況下修改用戶密碼;而桔子酒店官網(wǎng)漏洞問題則更恐怖——2008年-2015年的所有酒店訂單、開房信息可一覽無余，包括顧客姓名、身份證、手機(jī)號、開房時間、退房時間、家庭住址……除可能泄漏大量訂單、開房信息的漏洞外，桔子后臺也被曝出了安全問題。攻擊者可使用最高權(quán)限查看酒店管理系統(tǒng)，系統(tǒng)內(nèi)容豐富，包括桔子各分店管理、部門組織架構(gòu)等。

　　在要求實名制入住的酒店業(yè)，隨著當(dāng)下越來越多的用戶用酒店官網(wǎng)及手機(jī)APP訂房，這些漏洞無疑對用戶隱私信息的保護(hù)形成巨大威脅。