数据泄露的新闻看多了,但把偷来的东西随便扔在路边、还不设密码的,确实少见。
最近Cybernews安全团队发现,一个攻击者从西班牙和奥地利的酒店管理平台偷走了数百万条客人记录,然后把这些数据存到了一个没有任何防护的开放服务器上。连密码都没有。研究人员用"staggering"( staggering )形容规模,用"massive operation"描述手法——但最讽刺的是,这个"大规模行动"的终点,是一个任何人都能访问的文件夹。
谁动了酒店的数据
被攻击的两家平台分工明确。Chekin是西班牙的自动化入住服务商,主打让客人自助办理入住;Gastrodat则是奥地利的酒店管理软件提供商,帮酒店处理日常运营。它们都不是直接面向消费者的品牌,而是藏在酒店背后的基础设施。
攻击者攻破了527个账户——这些账户分属于不同的酒店和民宿房东。拿到权限后,他们用Python脚本(一种自动化编程工具)持续从平台的API(应用程序接口,即系统之间交换数据的通道)里拉取数据。
脚本是自动运行的。预订信息、客人资料被源源不断地抽走,实时转发到攻击者的服务器,中间还经过Telegram(一款加密通讯软件)中转。整个过程像一条流水线:平台API → 攻击者服务器 → Telegram → 最终存储。
问题在于最后一步。那个"最终存储"的服务器,完全裸露在互联网上。Cybernews的研究人员不需要破解任何防护,直接就能访问里面的6.5GB文件。
这相当于小偷把赃物搬回家,然后大门敞开,门牌号还挂在路口。
为什么是酒店数据
酒店行业的数据画像特别完整。姓名、电话、邮箱、身份证号、护照信息、入住时间、离店时间、同行人员——一次预订能收集的信息,比大多数互联网平台更丰富。而且这些数据是真实的、实时的、难以伪造的。
攻击者选择从Chekin和Gastrodat下手,而不是直接攻击万豪或希尔顿这样的连锁品牌,逻辑很清晰:平台型供应商是"一鱼多吃"的捷径。
攻破一个Chekin账户,可能拿到几十家民宿的客人数据;攻破Gastrodat的系统,覆盖的是一批中小型酒店。527个被控账户背后,是分散的、防御能力参差不齐的终端。攻击者用自动化脚本批量收割,成本极低。
更关键的是,这类B2B(企业对企业)服务商的安全投入往往不如直接面向消费者的大品牌。它们的产品卖点是"便捷""自动化",安全是隐性成本,容易被压缩。Chekin的官网强调"30秒完成入住",Gastrodat宣传"简化酒店管理流程"——但"简化"的代价,有时候是权限管控的粗糙。
API的设计本身就值得追问。为什么一个被攻破的账户,能无限制地拉取历史数据?为什么没有异常访问频率的熔断机制?脚本持续运行了多久,平台有没有察觉?原文没有给出这些细节,但这些正是供应链安全的核心漏洞。
Telegram的角色
数据经过Telegram中转,这个细节很有意思。Telegram因为端到端加密和频道功能,已经成为地下数据交易的常用渠道。但这里它扮演的只是"管道"——攻击者用Telegram实时接收数据,再转存到自己的服务器。
真正的问题是那个开放服务器。攻击者为什么不加密?为什么不设访问控制?
几种可能:一是攻击者的技术能力有限,只懂偷不懂藏;二是服务器只是临时中转站,攻击者没打算长期持有,所以懒得防护;三是攻击者本身也在被更上游的买家雇佣,数据到手后快速转手,服务器只是"交货"前的暂存点。
无论哪种情况,都说明这条黑产链条的专业化程度在分层。有人负责突破和采集,有人负责清洗和分销,有人负责最终变现。这个案例里,"采集端"的操作者显然在基础设施安全上犯了低级错误。
但对受害者来说,错误是谁犯的并不重要。数据已经泄露,而且是以一种最暴露的方式。
6.5GB意味着什么
原文没有给出具体记录条数,只提到"millions of records"(数百万条记录)和6.5GB的文件体积。我们可以粗略估算:一条酒店预订记录,包含姓名、联系方式、证件信息、入住细节,通常几十到几百KB不等。6.5GB的纯文本数据,对应的记录量级确实在百万级别。
这些数据的流向很难追踪。既然服务器是开放的,任何人发现都可以下载。Cybernews是在研究过程中偶然发现的,但在他们之前,有没有其他人访问过?攻击者自己有没有备份?Telegram频道里有没有已经转发的副本?
酒店数据的变现路径很成熟。精准诈骗("您的预订有问题,请重新支付")、身份盗用、钓鱼攻击、甚至物理跟踪——知道某人某天入住某酒店,可以衍生出多种威胁。相比随机购买的邮箱密码,这类数据的价值在于"情境真实":诈骗者能准确说出你的入住日期、房型、同行人数,信任转化率极高。
更值得警惕的是长期影响。酒店数据不会过期。你三年前的入住记录,加上今年的航班信息,可以拼凑出完整的出行模式。这类画像在黑市上的价格,随时间推移可能不降反升。
平台的责任边界
Chekin和Gastrodat在事件中的角色,代表了SaaS(软件即服务)模式的典型困境。它们向酒店提供服务,酒店向客人提供服务——但当数据泄露发生时,客人找谁追责?
欧盟的GDPR(通用数据保护条例)框架下,数据控制者(酒店)和处理者(Chekin/Gastrodat)都有责任。但实际操作中,中小型酒店往往缺乏技术能力审计供应商的安全水平,只能信任对方的品牌承诺。而供应商的安全投入,又很难被采购决策量化。
这次事件暴露的API安全问题,在行业里并不新鲜。2023年,Salt Security的报告指出,API攻击在过去一年增长了137%;2024年,OWASP(开放Web应用程序安全项目)把"失效的对象级授权"列为API安全的首要风险。自动化脚本批量拉取数据,正是这类漏洞的经典利用方式。
但知道风险和修复风险是两回事。API的权限设计涉及业务逻辑,收紧可能影响正常功能;监控异常访问需要投入人力和工具;多因素认证会增加酒店员工的操作 friction( friction )。这些成本最终由谁承担?
原文没有提及两家平台的后续回应。但类似事件的常见走向是:供应商发布声明强调"已修复漏洞",酒店向客人发送通知建议"警惕诈骗",监管机构启动调查但结论滞后数年。真正承担后果的,是那些在不知情中被泄露信息的普通人。
研究者的发现方式
Cybernews团队找到这个服务器的方式,原文描述为"pick it up"——字面意思是"捡起"。这暗示了发现过程的偶然性:他们在进行常规的网络空间扫描时,碰到了这个没有任何防护的数据库。
这种"偶然发现"本身值得思考。如果攻击者稍微设置一个密码,或者限制IP访问,这个泄露可能至今未被发现。安全研究的可见性,和实际风险的规模,往往不成比例。我们看到的泄露事件,只是冰山浮出水面的部分。
研究人员把发现称为"massive operation",但这里的"massive"更多是指数据量,而非攻击复杂度。从527个账户到数百万条记录,工具是现成的Python脚本,存储是零成本的开源方案,分发是免费的Telegram频道。技术门槛的降低,让"大规模"变得廉价。
这也解释了为什么数据泄露事件层出不穷。不是防御技术没有进步,而是攻击者的生产成本下降得更快。当自动化工具、云基础设施、加密通讯都触手可及时,个体的恶意可以迅速放大。
我们能做什么
对于住酒店的人,这件事没有简单的自我保护方案。你可以选择不提供真实邮箱(但会错过预订确认),可以拒绝上传身份证照片(但可能无法入住),可以每次都用虚拟信用卡(但操作成本很高)。这些 friction 最终会让大多数人放弃。
更现实的行动,是向酒店和平台施加压力。预订前询问对方的数据存储政策,泄露事件后追究具体责任,在社交媒体上公开讨论——这些行为的累积,可能比个人的技术防护更有效。
对于科技行业的从业者,这个案例是一个提醒:B2B基础设施的安全投入,直接影响终端用户的隐私。设计API时多一层权限校验,监控日志里多一个异常检测规则,员工培训里多一节钓鱼识别课程——这些"隐性成本"在财报上看不见,但在某个开放服务器上,会以6.5GB的裸奔数据形式暴露出来。
如果你负责的产品涉及用户数据流转,不妨问自己:我们的API有没有被自动化脚本批量拉取的风险?我们的供应商安全审计做到了哪一层?如果最坏的情况发生,我们能在多久内发现、响应、通知用户?
这些问题没有标准答案,但提问本身是行动的开始。
热门跟贴