如家開房記錄遭洩露:開房有風險 入室需謹慎

　　大批酒店開房記錄疑遭洩露

　　因住客信息被第三方存儲引起，涉及如家等國內多家連鎖酒店；主要當事方回應，信息未發生洩露，已完成漏洞修補

烏雲下載的一家如家酒店客戶信息,客戶的身份證號、房間號碼和入住時間等信息均可清楚看到

　　東南網10月12日訊（海峽都市報閩南版記者林淑芳 李秋雲 林莉莉 《長江商報》 綜合）　　

核心提示

　　近日，國內安全漏洞監測平臺烏雲(WooYun.org)發布報告稱，如家等大批酒店的開房記錄被第三方存儲，並因此存在可能被洩露的風險。

　　記者調查發現，涉事的系統提供商、浙江慧達驛站公司（以下簡稱「慧達驛站」）還和國內多家連鎖酒店有合作關係，除了如家外，還包括速8、錦江之星、7天等知名連鎖酒店。

　　記者昨日走訪這些酒店，工作人員均表示只負責軟體使用，系統由總部統一維護。速8酒店總部回應稱，酒店的訂房系統是公司自主管理的，不會存在信息洩露，但因是加盟體系，不排除個別門店在WiFi服務上與慧達驛站可能有合作。如家則向本報發來聲明，稱已第一時間對漏洞進行檢查，並迅速修復。

　　不過，據新浪財經報導，大部分酒店還未來得及回應，慧達驛站已發表聲明，包攬了全部責任，稱有關無線門戶系統的安全性問題，是慧達驛站的責任，與任何酒店客戶無關，並稱住客信息並未發生洩露，目前已完成了全面升級並修補了漏洞。　　

—事件—　　酒店系統存漏洞 住客信息疑遭洩露

　　根據烏雲的報告，國內多家酒店如漢庭、如家、7天連鎖酒店、南苑e家、格林豪泰連鎖酒店、布丁酒店、杭州維景國際大酒店等，使用了浙江慧達驛站網絡有限公司開發的酒店Wifi管理、認證管理系統，但是該系統存在漏洞。

　　該漏洞早在8月份就已經被發現並確認，隨後按照標準流程通知廠商，並逐步向專家和技術人員公開，而如今已將漏洞細節公之於眾，也交給了CNCERT國家網際網路應急中心進行處理。

　　據新浪財經報導，慧達驛站創立於2005年12月，註冊資本1925萬元，是當前中國最大的酒店數字客房服務商，公司業務覆蓋全國31個省市自治區，110多個城市，4500多家星級和經濟連鎖酒店，從其客戶數量也可看出此次事件的覆蓋面之廣。

　　根據烏雲的報告，慧達的Wifi系統要求客戶在登入無線網絡時進行網頁認證，需上傳住客的實名信息，包括客戶名、開房日期、房間號等敏感信息會在慧達的伺服器上實時存儲。由於其認證用戶名跟密碼是明文傳輸，各個途徑都可能被黑客嗅探到並遭到洩露。

　　「用明文傳輸用戶名和密碼，確實是比較低級別的，幾乎沒有任何安全防護。有心人通過技術手段，就可以輕易地竊取到該用戶名和密碼。」泉州市一名計算機業方面的專家陳先生告訴記者，現在安全等級較高的是網銀等系統，客戶提交的用戶名、密碼都要經過重重加密。

　　烏雲的這份報告中，還將如家酒店作為典型，通過截屏的形式，披露了如家的一部分開房記錄，裡面包含了詳細的客戶姓名、身份證號碼等。　　

—各家回應—　　如家：　　承認存在風險　　漏洞已經修復

　　昨日，如家酒店集團向本報發來聲明，證實其無線信息技術服務供應商為慧達驛站，承認風險的存在，並稱已第一時間對漏洞進行了檢查並迅速修復。

　　「連我們員工，都沒辦法看到全部客戶的信息，只有本人過來，才能查到自己的信息。」如家快捷酒店泉州泉秀街烏洲路店相關負責人說。

　　如家快捷酒店CEO孫堅昨日向新浪財經表示，他們知道此事後第一時間會同供應商做了處理，包括漏洞修補和軟體升級，以求維護無線系統的安全性，建立長效的監測機制。

　　「網絡沒有絕對的信息安全，或者說沒有確保一定不會(信息洩露)，我們正在積極找尋第三方對系統進行進一步認證，對品牌商來說，客人的信息安全是特別重要的。」孫堅說。　　

漢庭：　　此事是烏龍　　雙方並無合作

　　漢庭酒店隸屬於華住酒店集團，其集團品牌部公關經理俞欣昨日向新浪財經回應稱，這是個純粹的烏龍事件，報導並不屬實，華住集團包括旗下所有酒店當前與慧達驛站並無官方合作，慧達驛站也不是華住集團的官方認證運營商。

　　翻閱慧達驛站的官網，可以發現合作夥伴中的確包括漢庭酒店。對此，華住酒店品牌部稱，此前，華住酒店旗下某個類型客房的電腦硬體設備的確與慧達驛站有過合作，但是酒店早已沒有此房型，與慧達驛站的合作也早已終止。

　　慧達驛站昨日在其官方聲明中也強調稱，公司的無線門戶業務領域與漢庭酒店確實沒有合作關係。　　

速8：　　系統自主管理　　不存在信息洩密

　　記者調查發現，除了如家、漢庭外，慧達驛站公司還和國內多家連鎖酒店有合作關係，在泉州，速8、錦江之星、7天等知名連鎖酒店，都是該公司的合作夥伴。記者昨日走訪這些酒店，工作人員均表示只負責軟體使用，系統由總部統一維護。

　　記者隨後致電速8酒店總部—速伯艾特（北京）國際酒店管理有限公司。該公司市場部相關負責人哈先生回應稱，酒店採用的訂房、運營系統等核心系統是公司自主管理的，用戶信息也由總部專業部門統一管理，不會存在信息洩露。針對速8酒店出現在慧達驛站的合作夥伴列表中，哈先生表示，酒店採用的是加盟體系，不排除個別門店在WiFi服務上與慧達驛站可能有合作。哈先生告訴記者，公司相關部門也將進一步跟進此事。　　

慧達驛站：　　信息並未洩密　　已完成漏洞修補

　　此事件發生後，大部分酒店還未來得及回應，但是慧達驛站已發表聲明，包攬了全部責任，稱有關無線門戶系統的安全性問題，是慧達驛站的責任，與任何酒店客戶無關。

　　根據慧達驛站的官方聲明，其系統的確存在漏洞：「經查證，無線門戶系統存在信息安全加密等級較低問題，有信息洩露的安全隱患，慧達驛站的技術團隊針對現有無線門戶認證系統已完成全面升級。」

　　對於文中所述的如家被洩露客戶數據一事，慧達驛站強調，截屏中的住客信息未發生洩密情況，這個截屏信息只是相關機構即烏雲作為技術驗證漏洞的展示而已。

　　慧達驛站稱，目前已通過升級加密等級等措施修補漏洞。　　

—各界看法—　　業內：信息洩露多渠道 商家提供「最要命」

　　開房記錄的洩露，已不是大家第一次聽到個人信息遭洩露。此前，網上個人信息、手機註冊信息等信息都曾被曝光遭商家洩露。記者諮詢了泉州多位計算機業內人士得知，通過網絡漏洞獲取客戶信息的方式並不常見，許多客戶信息實際上是商家主動提供，消費者對此「毫無辦法」。

　　「商家也有可能把人為信息洩露的責任推給系統漏洞。」某通信公司泉州分公司計算機維護人員王浩（化名）說，在通信行業，通信公司把用戶信息提供給合作商已不是什麼秘密，如果合作商不遵守職業道德，這些信息還會被轉手很多次使用。　　

警方：酒店與公安聯網 辦案需要方可查

　　依照公安機關的規定，凡是到酒店等正規旅舍住宿的市民，必須出示身份證進行登記。酒店的信息登記系統隨即自動與公安系統聯網，以便公安機關辦案查案的需要直接查詢。

　　泉州警方一人士介紹，公安機關可通過內部網絡，查詢全國範圍內任何人的旅舍住宿登記信息。但內部有嚴格規定，只有辦案查案需要，警方才可通過系統查詢居民住宿信息，嚴禁私人查詢、透露他人住宿信息，違者將追究其責任。　　

律師：因酒店洩露信息 可追究酒店責任

　　福建尚民律師事務所的吳家洪律師介紹，酒店為顧客保密信息，一般是行業規定的保密義務。另外，在法律層面上，民法通則也有類似規定，要求服務行業要保障顧客的安全，其中也就包含了信息安全。市民入住酒店，住宿信息從酒店方面洩露出去，造成不良影響或損失，即可追究酒店方面的責任。

　　另外，我國《刑法》也規定了出售、非法提供公民個人信息罪，非法獲取公民個人信息罪等罪名。任何人只要竊取或者以其他方法非法獲取公民個人信息，情節嚴重者都可能構成犯罪。

　　作者：林淑芳 李秋雲 林莉莉