【安全资讯】Booking.com警告客户预订数据可能遭泄露，网络钓鱼风险激增

概要：

全球在线旅游巨头Booking.com近日向部分客户发出警告，称其预订信息可能已被未经授权的第三方访问。此次事件再次凸显了旅游平台在数据安全方面面临的持续挑战，尤其是供应链环节的脆弱性。泄露的数据类型虽不包含财务信息，但足以被攻击者用于制作极具欺骗性的钓鱼邮件，对用户构成直接威胁。

主要内容：

Booking.com在近日向受影响用户发送的电子邮件中披露，公司检测到可疑活动，可能导致部分客户的预订信息被未授权方访问。泄露的数据可能包括客户姓名、联系方式、预订日期以及通过平台与酒店交换的留言信息。公司已采取重置预订PIN码等 containment 措施，但未公开具体受影响用户数量及事件的根本原因。

此次事件暴露了旅游行业供应链安全的固有风险。攻击模式很可能与2021年的违规事件类似，当时攻击者通过入侵酒店员工的登录凭证，间接访问了Booking.com平台上的客户数据，导致超过4000名客户的个人信息泄露，荷兰监管机构因此对公司处以47.5万欧元的罚款。

泄露的预订数据本身虽不含支付信息，但其详细程度足以让攻击者构造出高度逼真的钓鱼邮件。Booking.com内置的消息系统此前就曾被滥用，在酒店账户遭入侵后，合法的客户沟通渠道被用于实施支付诈骗。公司已提醒客户警惕后续的钓鱼攻击。

此次事件的核心风险已从初始的数据泄露，转移至潜在的、大规模的针对性网络钓鱼活动。攻击者利用真实的预订详情，能够制作出足以绕过用户警惕性和基础安全检测的欺诈信息，这可能导致二次危害，造成用户财产或更敏感信息的损失。