昨日,浙江慧达驿站网络有限公司市场总监韩冰向成都商报记者表示,“经查证,无线门户系统存在信息安全加密等级较低的问题,有信息泄露的安全隐患。但合作酒店的客户信息均未曾被泄露。”
快递单信息泄露的风波还未完全平息,酒店客户信息又遭遇了“泄露门”。近日,国内第三方漏洞监测平台乌云报告指出,国内多家酒店使用的慧达驿站网络系统存在漏洞,住客开房隐私可能被泄露。其中,不乏如家、汉庭、七天、速8等国内知名连锁酒店。
昨日,浙江慧达驿站网络有限公司市场总监韩冰向成都商报记者表示,“经查证,无线门户系统存在信息安全加密等级较低的问题,有信息泄露的安全隐患。目前,慧达驿站的技术团队针对现有无线门户认证系统已完成全面升级。”韩冰强调,“合作酒店的客户信息均未曾被泄露。”
系统存漏洞 多家酒店“中招”
根据乌云的报告,国内多家酒店比如汉庭、如家、七天连锁酒店、格林豪泰连锁酒店等近20个酒店使用了慧达驿站网络开发的酒店WiFi管理、认证管理系统,但是该系统存在漏洞。乌云在报告中解释了泄密的原因:用户连接到酒店的开放WiFi,上网时会被要求通过网页认证。由于这个认证是在浙江慧达驿站的服务器上完成的,所以慧达驿站的服务器也保存了一份酒店客户的信息。
报告称,客户信息的数据是同步通过http协议实现的,但认证用户名和密码是明文传输的,通过各个途径都可能被“嗅探”到。只要得到认证信息,就可以从数据服务器上获得酒店上传的所有客户开房信息。这些信息很可能被黑客监测到并被泄露。据介绍,慧达驿站的服务器上实时存储了上述酒店登记的客户名、身份证号码、开房日期、房间号等大量敏感隐私信息。
对于此事,网友们纷纷表示担忧,一位微博网友就评论称,“太可怕了,强烈谴责这种偷窥隐私的野蛮行径。”
网络商称客人信息未被泄露
成都商报记者从慧达驿站官网上看到,该公司创立于2005年12月,是当前中国最大的酒店数字客房服务商。公司业务覆盖全国110多个城市,4500多家星级和经济连锁酒店,其中包括成都的酒店。
昨日,慧达驿站成都分公司一位工作人员告诉记者,公司在成都地区的业务合作伙伴只有如家连锁酒店,如今系统已完成升级。韩冰表示,“系统安全漏洞的确存在,公司承担全责,与任何酒店客户无关。此外,公司在无线门户业务领域与汉庭酒店没有合作关系。”
记者看到,乌云出示的报告中,还将如家酒店作为典型,通过截屏的形式,披露了如家的一部分开房记录,里面包含了详细的客户姓名、身份证号码等。而慧达驿站在《释疑酒店住客信息泄露事件》一文中提到,“截屏中的住客信息未发生泄密情况,截屏信息是相关机构作为技术验证漏洞的展示。”韩冰向记者解释,公司与检测方签署过保密协议,公开的客户信息只是作为漏洞凭证,不会被泄露出去。
此外,韩冰表示,在此事发生之前,酒店客户信息也未曾被泄露过。“公司对客户的运行系统会进行日常检测和监控,如果发现任何不受控的信息下载现象,会及时与酒店方联系并采取措施阻止。此前,并没有发生过此类事件。”
本地调查
无线密码可从前台轻松获得
昨天下午,如家酒店总部给记者发来一份声明,表示公司已确认报告中所指的慧达驿站网络有限公司是其无线网络服务供应商。在看到乌云发布的报告之后,如家和无线信息技术服务供应商,第一时间对漏洞进行了检查,并迅速修复。
而七天酒店方面的负责人则表示他们的无线信息技术合作商一直是中国移动,WiFi方面并没有用该公司的产品。
昨日,记者走访了市内多家连锁酒店,并尝试登录其无线网络。在红星路附近一家如家连锁酒店的大厅里,记者用手机搜索到无线网络,发现其只要求输入密码,并不需要输入房间号等信息就可接入。随后,没有提出住宿要求的记者从前台工作人员处轻松获得了无线密码。
成都商报记者又以顾客身份来到红星路二段附近一家七天连锁酒店,其前台工作人员解释称,“有的店需要前台开通无线账号,才能上网,而有的店不需要。据我所知,附近的一家七天连锁酒店,只有入住顾客才能获得无线上网的账号和密码。”记者发现,这两家店的无线密码为纯拼音或拼音与重复数字的简单组合,安全程度一般。