住酒店的开房信息会泄露? 目前尚无专门保护法规

来源:互联网新闻 时间:2020-05-02 06:11

浙江慧达为多家酒店提供的无线门户系统被网曝存在漏洞,众网友担心了——

住酒店,我的开房信息会泄露吗

浙江慧达昨日表态,确有安全漏洞,目前系统已升级,漏洞已补上

省饭店业协会表示,正密切关注事态发展,会发动会员单位进行针对性筛查

该事件暴露法律空白,对于个人信息的保护目前尚无专门法规

昨天的微博上,关于浙江最热的话题有两个:一是余姚,二是慧达。

“慧达”的全名叫做浙江慧达驿站网络有限公司,位于杭州土山弄。让这家网络公司突然成了视线焦点的原因,来自于数日前国内安全漏洞监测平台乌云网(WooYun.org)发布的一份报告——如家、杭州维景国际大酒店等一大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。泄露的信息包括开房人的身份证号、住宿房号、入住/退房时间、同一房间的入住人数及各自身份。甚至还有网络传言说,某明星的住宿资料也在其中。

和个人信息捆绑,又牵涉到大量连锁酒店,消息一出,立刻引起了业内的高度关注,许多曾住过这些酒店的人都很担忧:“我的信息又要被卖了吗?”

真相究竟如何?又有多少家宾馆多少记录被泄露?这些信息是如何被人窃取的?我们试图拨开这些谜云——

被公开的住宿资料中

姓名身份证房号都有

咱们首先来认识一下本次事件的两位主角——

浙江慧达驿站网络有限公司,是一家为酒店提供数字化服务,构建信息平台的网络公司。

乌云网,2010年5月上线,是一家网络漏洞报告平台,用户在这里自由上传漏洞信息,并等待厂商核实并修复。业内人士告诉记者,它在圈内很知名,“很多黑客都来这里分享漏洞,而只有得到核实并已经采取防范措施解决问题后才会被公开。”

简单来说,一个是系统开发者,一个是第三方监控者。

在2份被公开的酒店客户开房记录单上,记者看到信息内容很详细:房间号、身份证号、是否有人同住、同住人姓名及拼音、登记人姓名及拼音、入住时间、退房时间等等都有——这些信息显示,入住的时间多为7月底~8月中旬。

公告称,存在漏洞系统的研发公司还和包括速8、7天连锁、南苑e家、格林豪泰、莫泰168等多家宾馆合作。

“这些信息的泄露和一个系统漏洞有关。”乌云网工作人员说,该漏洞早在8月21日就已被发现,在通知厂商后,按照流程于10月5日进行了公开,而消息在10月10日散布到了大众网络。

他告诉记者,涉事酒店全部或者部分使用了浙江慧达驿站网络有限公司(下称“慧达”)开发的酒店Wi-Fi管理、认证管理系统。而事情就由此而起——简单地说,由于各个酒店使用了这套系统,因此该公司在其服务器上实时存储了这些酒店客户的记录,而由于客户信息在数据同步时所使用的认证用户名、密码都是明文传输的(正是这点让泄露出现了可能),很容易就可以被专业人员从其数据服务器上获得酒店上传的客户信息。

乌云网的法务顾问赵占领律师告诉记者,此次泄露事件其实仅仅是流程中的一次普通发布。

而乌云网的工作人员也在微博上回复记者:其实这次发布透露了一种担心——既然他们可以拿到宾馆的住宿信息,那么就不能排除还有其他人早于他们窃取相关资料的可能。虽然慧达说已升级了系统堵上了漏洞,但在漏洞未发现前的这一段时间内,这些开房记录依然有已被窃取泄露的风险。

“慧达”释疑:

安全隐患已补漏

无论宾馆方的客户资料是否曾流出,但泄露可能性的存在把慧达推到了风口浪尖。前天,该公司发布一份“释疑通告”,并承揽了所有责任。

通告称,无线门户系统存在信息安全加密等级较低问题,有信息泄漏的安全隐患,技术团队也在第一时间针对现有无线门户认证系统进行了全面升级。一方面对第三方漏洞监测平台乌云(www.wooyun.org)的帮助表示感谢,另一方面也对酒店顾客深表歉意。

通告中还有两项内容很抓眼球:

第一,慧达驿站在无线门户业务领域与汉庭酒店(华住集团)、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店客户没有合作关系;

第二,有关无线门户系统的安全性问题,是慧达驿站的责任,与任何酒店客户无关。

“加密等级的确较低,这个方面公司存在不足。”慧达驿站相关负责人姚磊磊昨天显得异常忙碌,他和记者的会面仅仅进行了不到半个小时,就要赶去其他酒店进行会谈。

对于媒体的相关报道,他认为是产生了误读:截屏信息是相关机构作为技术验证漏洞时展示,并没有发生客观上的泄密。不过他说,自己是行政管理人员,无法回答记者提出的“系统存在哪些漏洞”、“被公布的开房信息是从哪里来的”等技术性问题。

涉及酒店态度各一

否认、自查皆有

被曝泄露开房记录的酒店很多,和杭州有关的包括如家、杭州维景国际大酒店(下称“维景国际”)、汉庭、速8、7天连锁等。

乍一眼看去,大家常住的连锁酒店几乎都在。

如家武林广场中心店经理毛夏苗说自己对该事件有所了解,但在总部下达相关通知前不能接受媒体采访。至于wifi,她说客房部并不提供无线,理论上不会造成客户信息泄露。而如家浙江区一位负责人对记者承认,和慧达驿站的确有合作,但是不是泄露了客户资料自己并不清楚,这个问题应该去问技术人员。

维景国际公关部徐虹则告诉记者,酒店方和慧达驿站方面的合作几乎和无线门户领域没有关系,根本不存在客户信息泄露问题。他们正和慧达驿站联系,强烈要求澄清事实。

此外,大部分被乌云网点名的酒店都对客户资料泄露发声否认,同时承诺说技术人员正在进行细致排查,以保证数据库及网络安全。

浙江省饭店业协会秘书长杜觉祥也很担心,他说杭州目前的星级酒店就有近300家,如果算上经济型酒店,总量可能超过1千个,网络平台一旦出现漏洞后果严重。“酒店一般有三个系统:运行管理系统、财务管理系统、安全监控管理系统,前2个系统没有外网端口接入,最可能出现问题的就是这个安全监控管理系统。”

杜觉祥告诉记者,目前协会正在密切关注这一事态的发展,并会以积极姿态介入。“如果需要,协会将会发动会员单位进行针对性筛查,并在法律咨询、预防措施、技术邀请等方面提供帮助。”(鲍亚飞 吴杭)

认真贯彻习近平重要批示精神 努力夺取浙江省长李强赴灾区指导救灾 要求做好全力以赴抗涝救灾 确保百姓安全健康宁波市城管局副局长:自来水水质没有下宁波排摸小区受淹房 天一广场停车场关浙江余姚遭“菲特”重创 获娃哈哈等各浙江成立省救灾援助联合小组进入余姚浙江余姚受灾成水城 义工和记者深夜趟余姚政府回应公众质疑 物资紧张主要因政府关门给美国百姓“添堵” 联邦雇员俄副防长军籍被取消 接管航天署俄在和平组织船中搜出禁药 正在追查其缅政府与克钦族和谈历时3天 达成和解俄罗斯对荷兰抱歉不满意 拟就公使被拘诺奖得主门罗在中国遇冷 在华中译本仅世行报告称2010年全球4亿儿童属极俄罗斯不赞成单一派别代表叙反对派参加韩媒频闹乌龙 又传朝鲜邻近中国建导弹老斯诺登赴俄看儿 斯诺登在俄生活俭朴利比亚:谁绑架了总理?为什么绑架总理“中国的发展不是挑战,而是福音”中泰关系跑步前进穆拉图当选埃塞俄比亚总统劫持利比亚总理意在压美放人第65届法兰克福书展开幕俄核弹头支撑美核电“半壁江山”欧盟要求德国增加难民收容量债务违约风险冲击美国政治体制美国寻求独霸天下是死胡同朝鲜人民军总参谋长易人 李永吉出任地下室公共配电房被淹 杭州城西多小区美国一华裔男遭摩托党群殴安理会通过涉叙化武决议 俄外长称准备美联储维持QE规模不变 减轻新兴市场美媒料默克尔胜选几成定局 基社盟胜出三名美国枪击案亲历者讲案发细节:枪射日本2名女大学生土耳其遇袭案真凶落网澳大利亚被评选为“全球最佳居住地”美国男子玩遥控直升机 头部遭飞机撞击叙官方:美国所谓证据系恐怖分子提供的中国和东盟合作是必需而非可选快男20强诞生 让世界听他们一次《陆贞》收官奉送海量剧照 陈晓揭秘结海量runningman跑男情感生活郑秀晶林允儿金贤重裴勇俊 盘点整容撞韩团各种爱豆:EXO最招黑宋茜最佳儿少女时代无惧成员退队风波 允儿徐贤大张柏芝林心如秦岚萧亚轩盘点被岁月糟蹋蒋欣娄艺潇袁姗姗张檬貌美眼熟却半红不杨幂成绩第一汤唯苦读三年 黄磊汤唯明