• 2013年10月12日09:12 • 成都商報
第三方監測平臺稱,為酒店提供WiFi管理的慧達驛站網絡存在漏洞;多家酒店緊急「堵漏」。
昨日,浙江慧達驛站網絡有限公司市場總監韓冰向成都商報記者表示,「經查證,無線門戶系統存在信息安全加密等級較低的問題,有信息洩露的安全隱患。但合作酒店的客戶信息均未曾被洩露。」
快遞單信息洩露的風波還未完全平息,酒店客戶信息又遭遇了「洩露門」。近日,國內第三方漏洞監測平臺烏雲報告指出,國內多家酒店使用的慧達驛站網絡系統存在漏洞,住客開房隱私可能被洩露。其中,不乏如家、漢庭、七天、速8等國內知名連鎖酒店。
昨日,浙江慧達驛站網絡有限公司市場總監韓冰向成都商報記者表示,「經查證,無線門戶系統存在信息安全加密等級較低的問題,有信息洩露的安全隱患。目前,慧達驛站的技術團隊針對現有無線門戶認證系統已完成全面升級。」韓冰強調,「合作酒店的客戶信息均未曾被洩露。」
系統存漏洞 多家酒店「中招」
根據烏雲的報告,國內多家酒店比如漢庭、如家、七天連鎖酒店、格林豪泰連鎖酒店等近20個酒店使用了慧達驛站網絡開發的酒店WiFi管理、認證管理系統,但是該系統存在漏洞。烏雲在報告中解釋了洩密的原因:用戶連接到酒店的開放WiFi,上網時會被要求通過網頁認證。由於這個認證是在浙江慧達驛站的伺服器上完成的,所以慧達驛站的伺服器也保存了一份酒店客戶的信息。
報告稱,客戶信息的數據是同步通過http協議實現的,但認證用戶名和密碼是明文傳輸的,通過各個途徑都可能被「嗅探」到。只要得到認證信息,就可以從數據伺服器上獲得酒店上傳的所有客戶開房信息。這些信息很可能被黑客監測到並被洩露。據介紹,慧達驛站的伺服器上實時存儲了上述酒店登記的客戶名、身份證號碼、開房日期、房間號等大量敏感隱私信息。
對於此事,網友們紛紛表示擔憂,一位微博網友就評論稱,「太可怕了,強烈譴責這種偷窺隱私的野蠻行徑。」
網絡商稱客人信息未被洩露
成都商報記者從慧達驛站官網上看到,該公司創立於2005年12月,是當前中國最大的酒店數字客房服務商。公司業務覆蓋全國110多個城市,4500多家星級和經濟連鎖酒店,其中包括成都的酒店。
昨日,慧達驛站成都分公司一位工作人員告訴記者,公司在成都地區的業務合作夥伴只有如家連鎖酒店,如今系統已完成升級。韓冰表示,「系統安全漏洞的確存在,公司承擔全責,與任何酒店客戶無關。此外,公司在無線門戶業務領域與漢庭酒店沒有合作關係。」
記者看到,烏雲出示的報告中,還將如家酒店作為典型,通過截屏的形式,披露了如家的一部分開房記錄,裡面包含了詳細的客戶姓名、身份證號碼等。而慧達驛站在《釋疑酒店住客信息洩露事件》一文中提到,「截屏中的住客信息未發生洩密情況,截屏信息是相關機構作為技術驗證漏洞的展示。」韓冰向記者解釋,公司與檢測方籤署過保密協議,公開的客戶信息只是作為漏洞憑證,不會被洩露出去。
此外,韓冰表示,在此事發生之前,酒店客戶信息也未曾被洩露過。「公司對客戶的運行系統會進行日常檢測和監控,如果發現任何不受控的信息下載現象,會及時與酒店方聯繫並採取措施阻止。此前,並沒有發生過此類事件。」
本地調查
無線密碼可從前臺輕鬆獲得
昨天下午,如家酒店總部給記者發來一份聲明,表示公司已確認報告中所指的慧達驛站網絡有限公司是其無線網絡服務供應商。在看到烏雲發布的報告之後,如家和無線信息技術服務供應商,第一時間對漏洞進行了檢查,並迅速修復。
而七天酒店方面的負責人則表示他們的無線信息技術合作商一直是中國移動,WiFi方面並沒有用該公司的產品。
昨日,記者走訪了市內多家連鎖酒店,並嘗試登錄其無線網絡。在紅星路附近一家如家連鎖酒店的大廳裡,記者用手機搜索到無線網絡,發現其只要求輸入密碼,並不需要輸入房間號等信息就可接入。隨後,沒有提出住宿要求的記者從前臺工作人員處輕鬆獲得了無線密碼。
成都商報記者又以顧客身份來到紅星路二段附近一家七天連鎖酒店,其前臺工作人員解釋稱,「有的店需要前臺開通無線帳號,才能上網,而有的店不需要。據我所知,附近的一家七天連鎖酒店,只有入住顧客才能獲得無線上網的帳號和密碼。」記者發現,這兩家店的無線密碼為純拼音或拼音與重複數字的簡單組合,安全程度一般。