如家等連鎖酒店開房信息遭泄露 專家稱程度罕見

據(jù)中國(guó)之聲《新聞縱橫》報(bào)道，"開房信息遭泄露"，這幾個(gè)字一出，有人憂心忡忡，會(huì)不會(huì)自己的信息也被泄漏了呢？也有人會(huì)不懷好意地笑了。

最近，國(guó)內(nèi)第三方漏洞監(jiān)測(cè)平臺(tái)烏云發(fā)布報(bào)告，慧達(dá)驛站為國(guó)內(nèi)大量酒店提供的無(wú)線門戶認(rèn)證系統(tǒng)存在信息泄露的安全隱患，通過(guò)這一漏洞，酒店客戶的姓名、身份證號(hào)碼、開房日期等敏感信息將一覽無(wú)余。

在這其中我們看到知名快捷酒店如家、漢庭等赫然在列，相關(guān)涉事企業(yè)已經(jīng)表示，確實(shí)發(fā)現(xiàn)了系統(tǒng)安全隱患，但是目前并沒(méi)有發(fā)生泄密情況。這個(gè)漏洞是什么時(shí)候被發(fā)現(xiàn)的？酒店客戶的敏感信息是否會(huì)有曝光的可能？

你住的酒店，安全嗎？根據(jù)"烏云"發(fā)布的漏洞概要，信息泄露風(fēng)險(xiǎn)不僅存在于如家、7天等快捷酒店，也在東莞虎門東方索菲特等高檔酒店出現(xiàn)。這些酒店全部或者部分使用了浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司開發(fā)的酒店Wifi管理和認(rèn)證管理系統(tǒng)。由于慧達(dá)驛站的服務(wù)器上實(shí)時(shí)存儲(chǔ)了酒店客戶的記錄，第三方可利用技術(shù)漏洞取得姓名、身份證號(hào)，開房日期、房間號(hào)等隱私信息。中國(guó)之聲隨即聯(lián)系接近"烏云"的IT專家柴先生。對(duì)于這一次的漏洞，他解釋，就目前掌握情況來(lái)看，泄密規(guī)模不算大，但其程度罕見。

柴先生：這個(gè)應(yīng)該還要看數(shù)據(jù)泄漏的范圍。因?yàn)楣膊块T的原因，這些酒店會(huì)收集一些數(shù)據(jù)，但是我看了它的泄漏方并不是酒店直接泄漏出去的，可能是通過(guò)第三方渠道泄漏的，規(guī)模不一定是很大，所以還要看具體數(shù)據(jù)的規(guī)模。

記者：您說(shuō)這個(gè)第三方指的是什么東西？

柴先生：是不是有一些其他的渠道，通過(guò)一些手段，在批量地收集酒店的數(shù)據(jù)。

記者：木馬程序這樣的東西嗎？

柴先生：有可能是木馬，也有可能是販買這樣的。我看到有很多信息已經(jīng)很精確了，像姓名、身份證號(hào)、郵箱啊，已經(jīng)非常準(zhǔn)確了，這種泄密的級(jí)別程度是比較嚴(yán)重的。

記者：是比較罕見的嗎？應(yīng)該說(shuō)這樣的級(jí)別？

柴先生：應(yīng)該是比較罕見了。

雖然"罕見"，卻并不令他意外。

柴先生：實(shí)際上我們國(guó)家的網(wǎng)站包括軟件服務(wù)商，在安全性防護(hù)上一直都有缺失，首先我們國(guó)家對(duì)于安全性包括這些網(wǎng)站的安全手段，缺乏強(qiáng)制的檢查手段，出于成本的考慮，我估計(jì)這些公司他們的安全措施都不是非常到位。應(yīng)該說(shuō)這個(gè)問(wèn)題由來(lái)已久了。

記者：能不能說(shuō)但凡你輸入過(guò)信息，都會(huì)有信息泄露的隱患？

柴先生：是的，沒(méi)錯(cuò)。我們所有暴露給酒店的信息，理論上來(lái)說(shuō)應(yīng)該會(huì)被限定在一定的范圍，它有一個(gè)邊界，就是你的酒店知道、你的供應(yīng)商知道，可能公安部門在法規(guī)要求下知道，別人按說(shuō)是不知道的。如果措施到位的話，這個(gè)信息應(yīng)該是安全的。目前的問(wèn)題應(yīng)該是出在他們信息的安全保密措施，還有他們網(wǎng)站的安全性建設(shè)上。

這一點(diǎn)，得到烏云法律顧問(wèn)趙占領(lǐng)的確認(rèn)。

記者：咱們國(guó)家現(xiàn)在有明確要求提供平臺(tái)的這些網(wǎng)絡(luò)公司隔多長(zhǎng)時(shí)間檢查自己的系統(tǒng)有沒(méi)有漏洞，他們需要承擔(dān)這樣的義務(wù)嗎？

趙占領(lǐng)：這個(gè)倒沒(méi)有，沒(méi)有這種具體的規(guī)定。

記者：現(xiàn)在就是說(shuō)要不要修正漏洞全憑自覺(jué)是嗎？

趙占領(lǐng)：對(duì)，現(xiàn)在是這樣的。

慧達(dá)驛站發(fā)布聲明稱，其無(wú)線門戶系統(tǒng)存在信息安全加密等級(jí)較低問(wèn)題，有信息泄漏的安全隱患，慧達(dá)驛站的技術(shù)團(tuán)隊(duì)針對(duì)現(xiàn)有無(wú)線門戶認(rèn)證系統(tǒng)已完成全面升級(jí)。如家CEO孫堅(jiān)則表示，如家得知此事后第一時(shí)間會(huì)同供應(yīng)商做了處理，包括漏洞修補(bǔ)和軟件升級(jí)，以求維護(hù)無(wú)線系統(tǒng)的安全性。記者隨后致電如家多家門店，對(duì)信息泄露一說(shuō)，店員均表示不知情；慧達(dá)驛站對(duì)此更是諱莫如深。

慧達(dá)驛站工作人員：這個(gè)我不是很清楚，您這邊能不能留下一個(gè)聯(lián)系方式，稍后我這邊讓我們同事給您回復(fù)呢？

慧達(dá)驛站工作人員：讓我們這邊市場(chǎng)部的總監(jiān)主動(dòng)跟您聯(lián)系好嗎？讓他盡快地好嗎？

慧達(dá)驛站工作人員丙：具體時(shí)間的話會(huì)盡快跟您聯(lián)系，好吧？

"烏云"最早于10月5號(hào)向公眾披露漏洞詳情，事實(shí)上，在此前的8月21號(hào)，烏云已提前向廠商先行通報(bào)問(wèn)題并等待其修復(fù)。柴先生說(shuō)，這樣的做法，符合慣例。

柴先生：一般像這種漏洞的發(fā)布都會(huì)有一個(gè)后臺(tái)處理程序，首先會(huì)對(duì)這個(gè)漏洞進(jìn)行分析，發(fā)現(xiàn)方會(huì)和網(wǎng)站管理員聯(lián)系了以后，他們也會(huì)提供一些補(bǔ)救措施，一般來(lái)說(shuō)不會(huì)直接向公眾公布的。因?yàn)橄蚬姲l(fā)布以后有可能會(huì)帶來(lái)一些額外的影響，帶來(lái)一些附加的損失。

由于目前沒(méi)有產(chǎn)生實(shí)際損失，不涉及賠償問(wèn)題；但如果將來(lái)事態(tài)變化，趙占領(lǐng)介紹，酒店客戶可以直接向酒店索賠。

趙占領(lǐng)：顧客一旦入住酒店，酒店就應(yīng)當(dāng)采取技術(shù)和管理的措施保護(hù)顧客的信息安全。雖然說(shuō)這些技術(shù)可能是第三方提供的，但合同具有相對(duì)性，他應(yīng)當(dāng)向顧客先承擔(dān)違約責(zé)任之后，再去追究相關(guān)技術(shù)提供方的責(zé)任。

記者：也就是說(shuō)如果我入住酒店、我的信息被泄漏了，我就先去告酒店，然后酒店如果覺(jué)得有必要，他再去告提供這個(gè)平臺(tái)的公司。

趙占領(lǐng)：對(duì)，是這樣的。記者沈靜文 李楊