主流旅游平台惊现高危漏洞：千万用户账户权限可被劫持

Meise

TOP2 1月30日消息：API安全厂商Salt Labs最新报告显示，某头部旅游服务平台存在严重身份验证漏洞，允许攻击者通过定制链接劫持用户会话令牌，进而完全控制其账户权限。该平台业务覆盖酒店预订、租车服务，并与数十家航空公司在线系统深度集成，攻击者可借此修改行程、消耗里程积分甚至冒用消费。

研究人员指出，恶意链接伪装成合作航空公司的合法域名，诱导用户登录关联账户。当用户通过OAuth协议完成授权后，系统生成的会话凭证会回传至攻击者服务器。由于漏洞利用过程完全符合常规业务流程，传统域名审查机制难以识别异常。

目前涉事平台已确认漏洞存在并完成修复，但未公开具体名称。安全专家提醒，此类供应链级漏洞影响范围通常呈指数级扩散，建议用户近期审慎处理包含航班/酒店预订的第三方链接，定期检查账户异常活动记录。