文章总结： 西班牙警方逮捕一名20岁男子，其通过篡改在线支付系统，以0.01欧元价格预订原价千欧的豪华酒店房间，造成酒店超2万欧元损失。该攻击利用支付回调验证或金额一致性校验等业务逻辑漏洞，暴露了过度信任第三方支付返回结果而缺乏实时对账的风险。建议平台强化服务器端校验与异常监测。 综合评分： 78 文章分类： 漏洞分析,数据安全,应用安全,网络安全,其他

【安全圈】1分钱入住千欧豪华酒店：西班牙警方逮捕操纵支付系统黑客

安全圈

2026年2月24日 19:02 美国

关键词

网络攻击

西班牙警方近日在马德里逮捕一名20岁男子，指控其通过篡改在线支付系统，以每单仅0.01欧元的价格预订原本高达1000欧元一晚的豪华酒店房间。仅一家酒店损失就超过2万欧元。

根据 Spanish National Police 发布的通告，该男子通过操纵酒店预订网站集成的支付网关，改变交易验证流程，使系统在仅收到0.01欧元付款的情况下，将订单判定为“已支付”。平台显示交易成功，但实际到账金额远低于订单金额，直到数日后对账时异常才被发现。

警方披露，嫌疑人选择某国际电子支付平台作为支付方式，并实施定制化攻击，干扰交易验证逻辑，使系统授权成功。技术细节尚未公布，但从流程推测，极可能涉及支付回调验证绕过或业务逻辑漏洞，例如系统只校验支付状态码而未校验金额一致性，或未进行服务器端签名二次确认。

案件暴露出在线支付系统中的一个常见风险：过度信任第三方支付返回结果，却缺乏金额一致性校验与实时对账机制。一旦支付状态与实际到账金额脱钩，就可能被恶意利用。

警方在四天内完成溯源，将嫌疑人在马德里一家豪华酒店内抓获。其当时已连续预订四晚高价客房，并产生额外未结清消费。目前其因涉嫌计算机欺诈被移交司法机关，案件仍在调查中。

这起事件并非传统入侵，而是典型的支付流程逻辑漏洞利用。对电商、旅游、酒店平台而言，支付确认必须坚持服务器端校验、金额一致性验证以及自动化异常监测，否则再小的金额偏差，都可能被放大为系统性损失。

END

阅读推荐

【安全圈】飞牛 fnOS 漏洞被批量利用

【安全圈】年薪50万还不够？3名大厂员工兼职做黑产被抓

【安全圈】荷兰电信巨头 Odido 遭入侵：620 万用户数据泄露

【安全圈】英国不跟欧盟“硬刚”：对苹果、谷歌采取“轻监管”路线

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】1分钱入住千欧豪华酒店：西班牙警方逮捕操纵支付系统黑客》