6.8億條預訂記錄堆起來的帝國，被一封WhatsApp消息捅穿了窗戶紙。

Booking.com本周確認，黑客已獲取大量客戶的姓名、郵箱、住址、電話及完整預訂詳情。這家全球最大的酒店預訂平臺正在向受影響用戶發(fā)送通知郵件，Reddit上已有數(shù)十人曬出 identical 的告警內(nèi)容。

「未經(jīng)授權(quán)的第三方可能訪問了與您預訂相關(guān)的特定信息」——郵件原文如此寫道。除了基礎(chǔ)個人信息，泄露范圍還包括「您與住宿方分享過的任何內(nèi)容」。換句話說，你在訂房時備注的「蜜月布置」「高樓層安靜房間」甚至特殊飲食需求，都可能躺在黑客的數(shù)據(jù)庫里。

從酒店前臺到WhatsApp：攻擊鏈的精準閉環(huán)

事件曝光源于Reddit用戶的一則帖子。該用戶兩周前收到一條WhatsApp釣魚消息，對方準確報出了他的Booking.com預訂詳情和個人信息。這不是廣撒網(wǎng)的垃圾短信，而是針對真實客戶的定向攻擊。

攻擊路徑逐漸清晰：黑客先滲透Booking.com系統(tǒng)竊取數(shù)據(jù)，再用這些信息建立信任，最終通過即時通訊工具完成二次釣魚。酒店預訂場景天然適合這種打法——客戶正處于「等待確認」的焦慮期，對任何看似官方的聯(lián)絡(luò)都缺乏戒心。

Booking.com發(fā)言人Courtney Camp向TechCrunch承認，公司確實發(fā)現(xiàn)「未經(jīng)授權(quán)第三方訪問部分客人預訂信息」的異常活動，并在發(fā)現(xiàn)后「采取行動遏制問題」。具體措施包括：更新受影響預訂的PIN碼，以及向客人發(fā)送通知。

但公司拒絕透露受影響用戶數(shù)量。6.8億累計客戶中，究竟多少人的數(shù)據(jù)流入黑市？這個關(guān)鍵數(shù)字被刻意模糊。

財務(wù)數(shù)據(jù)「安全」背后的文字游戲

Booking.com向The Guardian強調(diào)「財務(wù)信息未被訪問」。這句話的含金量需要拆解。

信用卡號確實不在泄露清單中，但姓名、電話、住址、出行日期、酒店名稱、同行人員信息——這些足以構(gòu)建完整的用戶畫像。黑客不需要你的卡號，他們可以用社會工程學從酒店前臺套取，或直接在暗網(wǎng)打包出售給精準詐騙團伙。

更值得玩味的是「與住宿方分享過的任何內(nèi)容」。商務(wù)旅客的公司名稱、家庭出游的兒童年齡、醫(yī)療需求備注——這些非結(jié)構(gòu)化數(shù)據(jù)往往比銀行卡號更值錢。保險詐騙、綁架勒索、商業(yè)競爭情報，都是可能的變現(xiàn)路徑。

這不是Booking.com第一次被酒店端的漏洞拖累

2024年，TechCrunch曾報道黑客向多家酒店電腦植入消費級間諜軟件（stalkerware）。其中一起案例中，受害者正登錄Booking.com管理后臺，PcTattleTale軟件直接截屏捕獲了操作畫面。

酒店行業(yè)的IT基礎(chǔ)設(shè)施堪稱數(shù)字時代的茅草屋。大量中小型酒店使用老舊系統(tǒng)、弱密碼、無補丁管理的終端，卻掌握著全球OTA（在線旅行社）平臺的賬號權(quán)限。Booking.com的6.8億客戶數(shù)據(jù)，很大程度上分散存儲在這些不可控的節(jié)點上。

本次事件的攻擊入口尚未公開。但結(jié)合2024年的案例，酒店端很可能是薄弱環(huán)節(jié)——黑客不需要攻破Booking.com的核心數(shù)據(jù)庫，只需要在一家合作酒店的電腦上種木馬，就能批量抓取實時預訂流水。

這種「邊緣滲透」模式比直接攻擊巨頭更難防御。Booking.com可以審計自己的代碼，但無法強制要求全球數(shù)百萬合作酒店升級Windows XP。

發(fā)言人提到的「更新PIN碼」措施也暴露了尷尬現(xiàn)實：預訂PIN是Booking.com用于身份驗證的核心憑證，一旦泄露，黑客可以修改訂單、取消入住、甚至冒名辦理退房騙取退款。將「更新PIN」作為補救手段，說明系統(tǒng)架構(gòu)本身依賴單一靜態(tài)密碼，而非多因素認證。

精準釣魚的時代：你知道騙子知道多少嗎？

WhatsApp釣魚消息的可怕之處在于語境還原。普通詐騙短信只能喊你「尊敬的用戶」，而手握Booking.com數(shù)據(jù)的黑客可以說：「您預訂的巴黎拉丁區(qū)三星酒店，入住日期6月14日，訂單號BK-2025XXXX，因系統(tǒng)故障需要重新驗證支付信息。」

這種顆粒度的信息讓釣魚成功率呈指數(shù)級上升。受害者不是輸給了技術(shù)，而是輸給了「這不可能造假」的心理慣性。

Reddit上已有用戶反饋，在收到官方通知郵件前就遭遇了可疑聯(lián)絡(luò)。時間差意味著黑客的數(shù)據(jù)訪問可能早于Booking.com的檢測，或者泄露在內(nèi)部流轉(zhuǎn)了相當一段時間才被標記為「可疑活動」。

公司聲明中的「發(fā)現(xiàn)后采取行動」是標準話術(shù)，但「何時發(fā)現(xiàn)」和「何時行動」之間的縫隙，往往是受害者損失擴大的黑洞。

對于6.8億累計客戶中的活躍分子，現(xiàn)在需要檢查的不只是信用卡賬單。任何近期通過Booking.com完成的預訂，都可能成為詐騙劇本的素材。酒店確認電話、行程變更通知、積分兌換提醒——這些正常業(yè)務(wù)場景都被污染了。

更隱蔽的風險在于數(shù)據(jù)關(guān)聯(lián)。本次泄露的「與住宿方分享內(nèi)容」如果包含身份證號、護照信息（部分國家酒店登記要求），則身份盜用的鏈條可以無限延伸。

Booking.com的商業(yè)模式建立在「消除旅行 friction」的承諾上。用戶愿意交出更多個人信息，換取一鍵預訂的流暢體驗。這次事件是一次成本核算：當 friction 從預訂環(huán)節(jié)轉(zhuǎn)移到安全環(huán)節(jié)，平臺是否還能兌現(xiàn)承諾？

一位收到通知的用戶在Reddit寫道：「我現(xiàn)在收到任何關(guān)于旅行的消息，第一反應都是先上官網(wǎng)核對，而不是點鏈接或回電話。」這種信任損耗的修復成本，遠超任何PIN碼更新。

當你的下一次酒店預訂確認郵件抵達時，你如何確定發(fā)件人不是三個月前就已經(jīng)知道你要去東京的人？