宜必思酒店自助登机终端存在安全漏洞，暴露客房访问代码

关键词

瑞士 IT 安全评估公司 Pentagrid 周二表示，德国和其他欧洲国家的宜必思快捷酒店的自助登记亭可能受到了一个漏洞的影响，该漏洞暴露了可用于进入房间的键盘代码。

宜必思快捷品牌隶属于法国酒店业巨头雅高集团。据该公司网站称，宜必思快捷酒店在 20 个国家/地区拥有 600 家酒店。

2023 年末，Pentagrid 黑客发现德国一家宜必思快捷酒店的自助入住终端存在漏洞，但他们认为该漏洞也可能影响其他酒店。

Accor 立即收到通知，并在一个月内通知 Pentagrid，它已向受影响的设备推出了补丁。

受影响的自助服务终端允许宜必思快捷酒店的顾客在没有工作人员在场的情况下登记入住自己的房间。客户被要求输入预订 ID，终端显示相关的房间号以及可用于进入房间的门键盘代码。

Pentagrid 发现，通过输入一系列破折号而不是预订 ID，终端会显示当前预订的列表。点击预订即可显示房间号和键盘访问代码，据 Pentagrid 称，这些代码在客户入住酒店期间保持不变。攻击者可能使用暴露的访问代码进入房间。

该安全公司的研究人员认为，这可能是供应商忘记停用的错误或测试功能，而不是旨在提供对所有预订的访问的主代码。

研究人员在谷歌上搜索了宜必思快捷酒店登记入住亭的图片。搜索返回了数十个结果，特别是德国和法国的酒店。

Pentagrid 表示，目前尚不清楚受影响的信息亭是哪家公司生产的。

研究人员指出，为了利用该漏洞，攻击者需要物理访问目标终端，并将设备设置为允许自助服务，这很可能是在夜间。