據中國之聲《新聞晚高峰》報導,近日,國內第三方漏洞監測平臺烏雲發布報告稱,由浙江慧達驛站網絡有限公司為國內大量酒店提供的無線門戶認證系統存在信息洩漏的安全隱患,也就是說,在這些酒店入住的客人,身份證號,入住、退房時間等信息都可以在網上查到。
而與這家網絡有限公司合作的酒店包括如家、杭州維景國際大酒店等。報告一經披露引發了不小的關注。不少網友很擔心,自己的個人信息會被洩露。這次信息洩露規模有多大,我們的信息還安全嗎?
根據"烏雲"發布的漏洞概要,信息洩露風險不僅存在於如家、7天等快捷酒店,也在東莞虎門東方索菲特酒店等高檔酒店出現。這些酒店全部或者部分使用了浙江慧達驛站網絡有限公司開發的酒店Wifi管理、認證管理系統。慧達驛站在伺服器上實時存儲了這些酒店客戶的記錄,包括客戶名、身份證號,開房日期、房間號等敏感、隱私信息。這些信息由於技術上的原因,可以從數據伺服器上獲取。中國之聲隨即聯繫接近"烏雲"的IT專家柴先生。對於這一次的漏洞,他解釋,從目前掌握情況來看,洩密規模不算大,但其程度罕見。
柴先生:這個應該還要看數據洩漏的範圍,因為公安部門的原因,這些酒店會收集一些數據,但是我看了它這個洩漏的方並不是酒店直接洩漏出去的,可能是通過第三方渠道洩漏的,規模並不一定是很大,所以還要看具體數據的規模。我看到有很多信息已經很精確了,像姓名、身份證號、郵箱已經非常準確了,這種洩密的級別程度是比較嚴重的,應該是比較罕見了。
儘管罕見,卻並不意外。
柴先生:實際上我們國家的網站包括軟體服務上,在安全性防護上一直都有缺失,首先我們國家對於網站的安全手段,缺乏強制的這個檢查手段,出於成本的考慮,我估計這些公司他們的安全措施都不是非常到位。
記者:能不能理解但凡你輸入過信息都會有這個信息洩漏的隱患呢?
柴先生:是的,沒錯,應該這樣就是我們所謂的暴露給酒店的信息理論上來說,應該會被限定在一定的範圍,它有一個邊界,就是你的酒店知道、你的供應商知道,可能公安部門在法律要求下知道,別人按說是不知道的。如果措施到位的話,這個信息應該是安全的,目前這個應該是出現他們這個信息的安全保密措施,還有他們網站的安全性建設。
這一點,得到烏雲法律顧問趙佔領的確認。
記者:咱們國家現在有明確的要求提供平臺的這些網絡公司,隔多長時間檢查一下自己的系統有沒有漏洞,他們需要承擔這樣的義務嗎?
趙佔領:這個倒沒有,倒沒有這種具體的規定。
記者:要不要去修正漏洞全憑自覺是嗎?
趙佔領:對,現在是這樣的。
記者:記者隨後致電如家多家門店,對信息洩露一說,店員均表示不知情。
除了酒店方面的態度,大家應該也很關心,事件的另一個主角浙江慧達驛站網絡有限公司如何回應?
浙江慧達驛站網絡有限公司,對此更是諱莫如深。
浙江慧達驛站網絡有限公司:這個我不是很清楚,具體您這邊能不能留下一個聯繫方式,稍候我這邊讓我們同事給您回復呢? 讓我們這邊市場生產部的總監主動跟您聯繫好嗎?讓他儘快地好嗎?具體時間的話會儘快跟您聯繫好吧?
慧達驛站在過去6小時內沒有給出回復,事實上,他們有超過一個月的時間來準備答案。在向公眾公布這一漏洞前,烏雲已提前8月21號向廠商先行通報問題並等待其修復,也因此,目前並沒有發生實際的"信息洩露"。一旦未來出現洩露、產生損失,趙佔領介紹,酒店客戶可以直接向酒店索賠。
趙佔領:顧客一旦入住酒店,酒店就應當採取技術和管理的措施保護顧客的信息安全,他應當向顧客先承擔違約責任之後,再去追究相關技術提供方的責任。
也就是說如果入住酒店的信息被洩漏了,就先去告酒店,然後酒店如果覺得有必要,他再去告提供這個平臺的公司。(記者 沈靜文 李楊)