酒店数据裸奔：6.5GB客人信息竟无密码保护

黑客偷完数据随手扔在公网，连密码都懒得设——这种操作在2024年居然还能发生。

Cybernews安全团队最近发现了一起"规模惊人"的数据泄露事件。攻击者从西班牙和奥地利的酒店管理平台窃取了数百万条客人记录，却把这些数据存放在一台完全开放的服务器上。没有密码，没有加密，任何人只要知道地址就能下载。

这不像专业犯罪，更像是一种傲慢的疏忽。

被盯上的不是酒店，是"中间商"

攻击者没有直接破解万豪或希尔顿这类大型连锁，而是选择了更隐蔽的切入点：酒店技术服务商。

西班牙的Chekin（自动化入住服务）和奥地利的Gastrodat（酒店管理软件）成为主要目标。这两家公司为大量中小型酒店提供预订系统、客户管理和入住登记服务——它们掌握着客人的姓名、联系方式、证件信息，甚至支付细节。

攻击者侵入了527个酒店和民宿房东的账户，用这些权限打通了整个预订系统的数据接口。

接下来的操作很工业化：用Python脚本（一种编程语言工具）自动调用平台的应用程序接口（API，即系统之间的数据通道），持续抓取预订和客人信息，实时发送到攻击者控制的服务器。

整个过程不需要人工干预，像一条流水线。

Telegram成了数据中转站

研究人员发现，数据很可能通过即时通讯软件Telegram实时转发。这种设计让攻击者可以随时获取最新数据，而不必频繁登录服务器。

但诡异的是，存放数据的最终服务器本身毫无防护。

Cybernews团队描述这个发现时用了两个词："大规模运营"和"规模惊人"。服务器上堆放着约6.5GB的文件，包含数百万条个人可识别信息——姓名、联系方式、旅行日期、住宿偏好，甚至可能包括护照或身份证扫描件。

一个专门从事数据盗窃的黑客，为什么会把赃物放在不上锁的房间里？

几种可能：临时存储点，还没来得及转移；或者攻击者认为"最危险的地方最安全"，公网IP反而不会引起注意；也可能是供应链上的某个环节出了问题，服务器实际归属另有其人。

无论如何，这种疏忽让安全研究人员得以完整还原整个数据链条。

酒店业的"API漏洞"有多普遍

这次攻击的核心技术点，是对API的滥用。

现代酒店系统高度依赖API：预订平台连接渠道管理器，渠道管理器连接物业管理系统，再连接门锁、支付网关和身份验证服务。每个连接点都是一个潜在入口。

攻击者不需要破解复杂的加密算法，只需要拿到合法账户的凭证——可能是钓鱼邮件、密码重用、或者服务商内部的安全疏漏——就能以"正常用户"的身份调用所有接口。

更值得警惕的是自动化脚本的规模化效应。527个账户、持续数周的数据抽取，产生的数据量远超传统的人工渗透攻击。这种"低技术门槛+高自动化"的组合，正在成为黑产的标准配置。

对酒店业来说，一个残酷的事实是：你们的安全水平，取决于最弱的一环。而"中间商"往往是最弱的一环。

Chekin和Gastrodat这类服务商，客户分散、技术债务重、安全投入有限，却掌握着高价值的客人数据。它们是攻击者的理想目标——回报高、风险低、被发现概率小。

数据去了哪里，谁该负责

目前公开信息中，没有提到具体的受害者名单或数据样本。Cybernews表示正在与相关方协调披露事宜。

但从技术描述推断，受影响的人群可能包括：通过受影响酒店预订的商务旅客、使用自动化入住服务的国际游客、以及在奥地利和西班牙民宿平台注册的房东。

数据泄露的法律责任在欧洲有明确框架。根据《通用数据保护条例》（GDPR），数据控制者（这里是酒店和服务商）需要在72小时内向监管机构报告泄露事件，并通知受影响的个人。

但"通知"本身解决不了问题。客人收到一封邮件，被告知"您的信息可能已泄露"，然后该做什么？监控信用报告？更换护照？这些成本几乎全部转嫁给了个人。

酒店业的商业模式也在放大风险。动态定价、超售管理、个性化推荐——这些功能都依赖对客人数据的深度分析。数据收集的范围越来越广，但安全投入的优先级往往排在功能迭代之后。

一个被忽视的技术细节

这次事件中有两个数字值得注意：527个被入侵账户，6.5GB数据文件。

527个账户产生的数据只有6.5GB，说明单个账户的数据量并不大——可能是增量抓取，或者攻击者有选择地过滤了高价值目标。这也解释了为什么攻击能持续数周而不被发现：流量特征看起来像是正常的API调用。

另一个细节是Python脚本的使用。这不是什么高级技术，任何有基础编程能力的人都能编写。攻击门槛的降低，意味着防御成本的上升——你需要监控的不是几个已知威胁，而是无数种可能的自动化攻击模式。

Telegram作为数据中转渠道，也反映了黑产基础设施的演变。端到端加密、易于创建的一次性账户、全球分布式服务器——这些特性原本用于保护用户隐私，现在成了犯罪工具。

平台治理的困境在于：你无法在不损害正常用户的前提下，完全封堵滥用行为。

对科技从业者的实际影响

如果你从事SaaS（软件即服务）、金融科技或任何涉及第三方数据整合的业务，这次事件提供了几个检查清单：

API权限的颗粒度是否足够细？一个 compromised（被入侵）的账户能访问多少数据？

是否有异常调用监控？持续数周的高频API请求是否应该触发告警？

第三方服务商的安全评估是否流于形式？合规问卷和实际渗透测试之间的差距有多大？

数据存储的加密和访问控制是否覆盖所有环境，包括"临时"或"测试"服务器？

最后一个问题尤其关键。很多泄露事件不是因为主系统被攻破，而是因为某个被遗忘的备份、某个开发环境的快照、或者某个"只用几天"的临时服务器没有纳入安全管理。

攻击者寻找的，往往就是这些缝隙。

为什么这件事值得持续关注

酒店业的数据泄露不是新闻。万豪在2018年和2022年两次大规模泄露，影响数亿客人；希尔顿、洲际、凯悦都曾是受害者。

但这次的模式有所不同：攻击者不是直接针对酒店集团，而是渗透其技术供应链。这种"上游投毒"的策略更难防御，因为酒店本身可能完全不知情——直到安全研究人员找上门。

对于依赖第三方服务的中小企业，这意味着安全责任边界的模糊。你与服务商的合同里可能有数据保护条款，但实际执行效果如何？对方是否定期进行安全审计？漏洞响应流程是否透明？

这些问题在签约时很少被深究，直到出事。

从更宏观的视角看，数据泄露的"成本外部化"问题依然没有解决。攻击者获利、企业受损、个人承担后果——这个链条中，只有攻击者的收益是确定的。企业面临罚款和声誉损失，但 rarely（很少）有高管为此担责；个人获得免费信用监控服务，但 identity theft（身份盗窃）的长期风险无法量化。

这种不对称性，是数据黑产持续繁荣的根本原因。

如果你管理着任何涉及用户数据的系统，建议本周就做一件事：检查所有API的访问日志，标记出调用频率异常的账户，确认这些账户背后的真实使用者。527这个数字，可能也藏在你的日志里，只是还没被发现。