住酒店的开房信息会泄露? 目前尚无专门保护法规

来源:互联网新闻 时间:2020-04-30 05:11

浙江慧达为多家酒店提供的无线门户系统被网曝存在漏洞,众网友担心了——

住酒店,我的开房信息会泄露吗

浙江慧达昨日表态,确有安全漏洞,目前系统已升级,漏洞已补上

省饭店业协会表示,正密切关注事态发展,会发动会员单位进行针对性筛查

该事件暴露法律空白,对于个人信息的保护目前尚无专门法规

昨天的微博上,关于浙江最热的话题有两个:一是余姚,二是慧达。

“慧达”的全名叫做浙江慧达驿站网络有限公司,位于杭州土山弄。让这家网络公司突然成了视线焦点的原因,来自于数日前国内安全漏洞监测平台乌云网(WooYun.org)发布的一份报告——如家、杭州维景国际大酒店等一大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。泄露的信息包括开房人的身份证号、住宿房号、入住/退房时间、同一房间的入住人数及各自身份。甚至还有网络传言说,某明星的住宿资料也在其中。

和个人信息捆绑,又牵涉到大量连锁酒店,消息一出,立刻引起了业内的高度关注,许多曾住过这些酒店的人都很担忧:“我的信息又要被卖了吗?”

真相究竟如何?又有多少家宾馆多少记录被泄露?这些信息是如何被人窃取的?我们试图拨开这些谜云——

被公开的住宿资料中

姓名身份证房号都有

咱们首先来认识一下本次事件的两位主角——

浙江慧达驿站网络有限公司,是一家为酒店提供数字化服务,构建信息平台的网络公司。

乌云网,2010年5月上线,是一家网络漏洞报告平台,用户在这里自由上传漏洞信息,并等待厂商核实并修复。业内人士告诉记者,它在圈内很知名,“很多黑客都来这里分享漏洞,而只有得到核实并已经采取防范措施解决问题后才会被公开。”

简单来说,一个是系统开发者,一个是第三方监控者。

在2份被公开的酒店客户开房记录单上,记者看到信息内容很详细:房间号、身份证号、是否有人同住、同住人姓名及拼音、登记人姓名及拼音、入住时间、退房时间等等都有——这些信息显示,入住的时间多为7月底~8月中旬。

公告称,存在漏洞系统的研发公司还和包括速8、7天连锁、南苑e家、格林豪泰、莫泰168等多家宾馆合作。

“这些信息的泄露和一个系统漏洞有关。”乌云网工作人员说,该漏洞早在8月21日就已被发现,在通知厂商后,按照流程于10月5日进行了公开,而消息在10月10日散布到了大众网络。

他告诉记者,涉事酒店全部或者部分使用了浙江慧达驿站网络有限公司(下称“慧达”)开发的酒店Wi-Fi管理、认证管理系统。而事情就由此而起——简单地说,由于各个酒店使用了这套系统,因此该公司在其服务器上实时存储了这些酒店客户的记录,而由于客户信息在数据同步时所使用的认证用户名、密码都是明文传输的(正是这点让泄露出现了可能),很容易就可以被专业人员从其数据服务器上获得酒店上传的客户信息。

乌云网的法务顾问赵占领律师告诉记者,此次泄露事件其实仅仅是流程中的一次普通发布。

而乌云网的工作人员也在微博上回复记者:其实这次发布透露了一种担心——既然他们可以拿到宾馆的住宿信息,那么就不能排除还有其他人早于他们窃取相关资料的可能。虽然慧达说已升级了系统堵上了漏洞,但在漏洞未发现前的这一段时间内,这些开房记录依然有已被窃取泄露的风险。

“慧达”释疑:

安全隐患已补漏

无论宾馆方的客户资料是否曾流出,但泄露可能性的存在把慧达推到了风口浪尖。前天,该公司发布一份“释疑通告”,并承揽了所有责任。

通告称,无线门户系统存在信息安全加密等级较低问题,有信息泄漏的安全隐患,技术团队也在第一时间针对现有无线门户认证系统进行了全面升级。一方面对第三方漏洞监测平台乌云(www.wooyun.org)的帮助表示感谢,另一方面也对酒店顾客深表歉意。

通告中还有两项内容很抓眼球:

第一,慧达驿站在无线门户业务领域与汉庭酒店(华住集团)、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店客户没有合作关系;

第二,有关无线门户系统的安全性问题,是慧达驿站的责任,与任何酒店客户无关。

“加密等级的确较低,这个方面公司存在不足。”慧达驿站相关负责人姚磊磊昨天显得异常忙碌,他和记者的会面仅仅进行了不到半个小时,就要赶去其他酒店进行会谈。

对于媒体的相关报道,他认为是产生了误读:截屏信息是相关机构作为技术验证漏洞时展示,并没有发生客观上的泄密。不过他说,自己是行政管理人员,无法回答记者提出的“系统存在哪些漏洞”、“被公布的开房信息是从哪里来的”等技术性问题。

涉及酒店态度各一

否认、自查皆有

被曝泄露开房记录的酒店很多,和杭州有关的包括如家、杭州维景国际大酒店(下称“维景国际”)、汉庭、速8、7天连锁等。

乍一眼看去,大家常住的连锁酒店几乎都在。

如家武林广场中心店经理毛夏苗说自己对该事件有所了解,但在总部下达相关通知前不能接受媒体采访。至于wifi,她说客房部并不提供无线,理论上不会造成客户信息泄露。而如家浙江区一位负责人对记者承认,和慧达驿站的确有合作,但是不是泄露了客户资料自己并不清楚,这个问题应该去问技术人员。

维景国际公关部徐虹则告诉记者,酒店方和慧达驿站方面的合作几乎和无线门户领域没有关系,根本不存在客户信息泄露问题。他们正和慧达驿站联系,强烈要求澄清事实。

此外,大部分被乌云网点名的酒店都对客户资料泄露发声否认,同时承诺说技术人员正在进行细致排查,以保证数据库及网络安全。

浙江省饭店业协会秘书长杜觉祥也很担心,他说杭州目前的星级酒店就有近300家,如果算上经济型酒店,总量可能超过1千个,网络平台一旦出现漏洞后果严重。“酒店一般有三个系统:运行管理系统、财务管理系统、安全监控管理系统,前2个系统没有外网端口接入,最可能出现问题的就是这个安全监控管理系统。”

杜觉祥告诉记者,目前协会正在密切关注这一事态的发展,并会以积极姿态介入。“如果需要,协会将会发动会员单位进行针对性筛查,并在法律咨询、预防措施、技术邀请等方面提供帮助。”(鲍亚飞 吴杭)

李克强总理精彩言论魔幻无声戏剧《龙》在英国苏格兰亮相日报鼓吹建“日美菲同盟”遏华美媒:台湾在南沙群岛海域勘测油气中国呼吁加强全球经济治理营造良好发展美报:中国崛起让美国变得更孤立楼兰古城的谜团:历史上曾多次销声匿迹德拉吉:欧元区将持续宽松货币政策英报:哈佛学子向中国先贤学习马儿扮狮子登台表演 陷“自我认同”危伊拉克多地发生暴力袭击事件 造成21美国再举办大型马拉松比赛 警方加强保为吸引年轻人当兵 日海上自卫队网上选俄航签署合同将负责运送索契冬奥会俄运韩警方错将装书旅行包当成炸弹包 酿一法媒称菲永自认比萨科齐更能赢得下届总巴黎警方破获卖淫网:六旬老妇掌管11俄罗斯前副防长被正式任命为俄航天署署巴基斯坦前总统穆沙拉夫保释后数小时再2013年诺贝尔文学奖揭晓 加拿大女俄称叙政府已确定出席第二次日内瓦会议巴基斯坦前总统穆沙拉夫保释后数小时再意大利中文学校老教师与新到任外派教师俄罗斯前副防长被正式任命为俄航天署署马拉维总统解散内阁 媒体称意在加强治俄外交部:俄外交官返回利比亚的日期暂土耳其议会批准延长越境打击库尔德武装利比里亚前总统泰勒将在英国监狱服刑中国买家在美佛州房地产市场崛起 \"苹果招聘运营商工程经理 与中移动合作国庆长假浙江发送旅客4600万 高速美国联邦政府关门 80万雇员被迫无薪恒大有望冲出亚洲战世俱杯 穆里奇或会肯尼亚军队强攻购物中心 以美英特工参“恐怖”小丑现身英国街头 不变戏法专新华国际时评:销毁叙化武 美俄协议只世界罕见规模机动演习 解放军四万人大俄\"反腐博主\"长相俊美善于演讲 前美军高官称奥巴马计划削弱叙利亚政府浙江7月发生65起汽车爆胎事故 致3广州80名城管穿防刺背心高调执法(图英超宝贝露西皮德尔圣诞性感热辣写真你要是以为那就是爱情 你就遇不到爱情冷空气已发货 这才是第一波 下周新一【从严治党】强化党内监督 推进从严治进口“三无肉”网上热卖 缺少检验检疫搬家不如装电梯 杭州一小区11户居民三星Note 7安全存疑 多家航空公“莎莉嘉”加强为台风级 16日下午进这个二哈绝食了