重點一:Booking.com 證實駭客取得旅客姓名、電話、電子郵件和訂房細節,但宣稱財務資訊未遭存取。
重點二:資安公司揭露三階段攻擊鏈:先騙飯店帳密、再竊取旅客資料、最後透過 WhatsApp 精準釣魚。
重點三:台灣消費者因 Booking.com 為境外平台面臨求助困境,消保會建議透過跨境爭議處理網申訴。
全球最大訂房平台之一 Booking.com 於 4 月 13 日證實發生資安事件,承認未經授權的第三方可能存取了旅客的預訂相關資料。
Booking.com 在官方聲明中表示,外洩資訊可能包含訂單內容、姓名、電子郵件、電話號碼,及旅客與住宿方分享的資訊,但官方也強調「並未從 Booking.com 的系統獲取財務資訊或住客的實體居住地址」。
公司稱已在發現當下採取行動,更新相關訂單的 PIN 碼並通知客戶。不過,這份聲明未說明受影響的用戶總數,也未交代攻擊者如何取得資料、入侵持續多久等關鍵問題。
資安公司圖解三階段攻擊鏈:從假投訴到精準釣魚
這起事件並非孤立的資料庫入侵。英國資安公司 Bridewell 的技術報告揭露,自 2026 年 1 月起,一波針對飯店產業的系統性攻擊行動已在運作,攻擊者部署了兩套專用釣魚工具組,分別針對飯店端和旅客端,形成完整的三階段感染鏈(詳見圖解)。
第一階段:騙飯店員工點連結。 攻擊者用自動產生的 Gmail 帳號向飯店訂房信箱發送假投訴信,內嵌的連結使用「IDN 同形攻擊」——將拉丁字母「o」替換為視覺上相同的西里爾字母「о」(Unicode U+043E),肉眼無法分辨真偽。
第二階段:竊取飯店的 Booking.com 帳密。 點擊連結後,攻擊者先對瀏覽器執行指紋辨識,過濾資安研究員(未通過者只會看到假的飯店清潔公司頁面)。通過檢查的員工被導向偽造的合作夥伴登入頁面,帳密隨即被竊取。Bridewell 發現攻擊者在 30 天內透過同一家註冊商註冊了超過 150 個釣魚網域。
第三階段:用真實訂單資料騙旅客付款。 拿到飯店帳密後,攻擊者登入 Booking.com 後台匯出旅客資料,再透過 WhatsApp 發送包含準確訂房日期和預訂編號的釣魚訊息,施壓「24 小時內未付款將取消預訂」。旅客點擊後進入的付款頁面會自動填入訂單細節,並以 Cloudflare 驗證碼作為前置層降低偵測率。
Bridewell 在工具程式碼註解中發現俄語字串,研判開發者為俄語使用者,並將此行動編號為 BR-UNC-030 持續追蹤。資安機構 Sekoia 曾將類似手法命名為「I Paid Twice」行動,Bridewell 認為當前攻擊可能是同一批人或新操作者的升級版本。
台灣用戶社群實況:PIN 碼混亂、客服失聯
事件曝光後,台灣社群平台上迅速出現部分受害回報。Threads 用戶 John Lai 發文指出,他在 Booking.com 上訂了 5 間住宿,其中 2 間的資料遭外洩,貼文觸及近 12 萬次瀏覽。
他也整理了四點自保建議:
- 不要點擊 email 或 Booking 內建聊天功能中的連結。
- 直接到飯店官網查找聯絡管道確認。
- 不要使用 Booking 內建聊天功能(駭客可能已取得控制權)。
- Booking 完成訂房後絕不會要求點連結補差價或填寫任何信用卡資訊。
多名用戶在留言中回報類似遭遇。有人收到三封通知信,發現信中的 PIN 碼與 App 顯示的不一致,無法分辨是官方更新還是遭到竄改,最終選擇登出所有裝置、啟用兩階段驗證並刪除綁定的信用卡資料。也有用戶反映通知信中的訂單號碼與原始訂單完全不同,進一步加深了對官方通知真實性的疑慮。
另一個反覆出現的抱怨是客服失聯。多名用戶表示聯繫 Booking.com 客服後完全沒有回應,飯店端則因詐騙訊息量過大而疲於應付。一名用戶直言:「Booking 內部系統真的爛到不行,詐騙訊息多到飯店窗口道歉都道不完了。」
平台申訴管道一次看
對台灣消費者而言,Booking.com 屬境外平台,營運主體不在台灣,不直接受國內法律管轄。若因個資外洩導致損失,傳統的消費者保護途徑難以適用。
行政院消費者保護會建議兩條管道:一是向 Booking.com 企業所在地的主管機關申請調解;二是利用國際組織建立的「跨境消費爭議處理網title」提交線上申訴。消保會也提醒,使用境外網站服務前應詳閱隱私政策,並定期更換密碼。
目前最直接的自保方式是:若近期透過 Booking.com 訂房,對任何聲稱來自飯店或平台的 WhatsApp 或簡訊保持高度警覺,尤其是包含訂房細節並要求付款的訊息。即使資訊正確,也應直接透過 Booking.com 官方 App 或網站確認,不點擊訊息中的連結。
資料來源:TechCrunch、Bridewell、Yahoo 新聞、Threads — John Lai
本文初稿為AI編撰,整理.編輯/ 李先泰
