今年美国爆发的“棱镜门”事件,引起了全球对于个人信息安全的思考。的确,身处大数据时代,任何一个小动作都可能成为信息泄露的源头。近日,国内安全漏洞监测平台乌云就发布报告称,浙江慧达驿站网络有限公司(以下简称“慧达驿站”)为国内大量酒店提供的无线门户认证系统存在信息泄露的安全隐患。
酒店Wi-Fi
疑为泄露源头
乌云网于10月5日公开的报告显示,如家、汉庭、7天、格林豪泰等不少知名经济型连锁酒店全部或部分使用了慧达驿站开发的酒店Wi-Fi管理、认证管理系统。慧达驿站在服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期、房间号等敏感、隐私信息。
漏洞发现者表示,当入住这些酒店的住客连接酒店的开放Wi-Fi上网时,会被要求通过网页进行认证。值得注意的是,这个认证并不是通过酒店的服务器而是在慧达驿站的服务器上完成的,与此同时该服务器也保存了一份酒店住客的信息。由于系统设计存在漏洞缺陷,客户输入的姓名、房号、身份证号码等信息,在上传至服务器过程中就可能被窃取。
对此,慧达驿站于10月10日在公司网站上发表声明,承认无线门户系统存在信息安全加密等级较低,有信息泄露的安全隐患,技术团队也已对现有门户无线认证统统完成全面升级。同时,慧达驿站还强调有关无线门户系统的安全性问题是公司的责任,与任何酒店客户无关,并且澄清公司与汉庭酒店(华住集团)、杭州维景国际大酒店等酒店客户并无合作关系。
开房信息被泄
一度可在线查询
对于客户信息是否已经泄露,慧达驿站在通告中予以否认。公司的市场总监韩冰表示,“目前第三方漏洞监测平台提供的截图在某种程度上只是该机构作为技术验证漏洞的一种展示,并不能说明已经存在信息泄露。”
然而就当慧达驿站10月12日发布漏洞已被修复、隐患已被解除的确认通告后,15日凌晨一个可检索酒店住客信息的查询网站的出现,让信息泄露事件进一步升级。
据了解,该网站主页只有最上方的“查询”两字,以及一个“姓名或身份证”输入框和“查询”按钮。输入姓名后就能得到数据库中所有同名者的个人资料,包括身份证号、电子邮箱、手机号码和(住宿)登记日期等。如果输入的是身份证号,则能定向查到该人士在酒店的开房信息。多位网友通过查询自己及朋友的开房信息,均表示身份证和手机号对得上。虽然目前该网站已无法访问,但住客开房信息泄露已是不争的事实。
信息泄露损失
目前尚无衡量标准
事实上,早在今年6月就有网友爆料,锦江之星连锁酒店将至少5万份精准客户资料转给一家旅游网站,其中包括姓名、身份证号、邮箱和手机等隐私信息。随后锦江之星就此事发布声明对此进行了否认。据记者了解,目前网上还流传这一个名为“某酒店2000W数据”的压缩文件供网民下载。
个人信息泄露的背后,实际上还隐藏着一条倒卖个人信息的灰色产业链。许多不法分子通过出售他人信息获取利益,购买者则通过信息来进行广告推销或作出电话诈骗等一些违法行为。对此,威诺律师事务所主任杨兆全在接受《证券日报》记者采访时表示,目前我国尚未出台个人信息保护相关法律法规,需要加强泄露公民信息民事赔偿制度的建立和落实。他告诉记者,目前个人信息泄露受害者要求赔偿还存在困难,一方面,单个人的损失金额较小,如果提起诉讼,诉讼成本相对较高。现在我国还没有集体诉讼的制度,受害者也不可能群体进行诉讼;另一方面,公民信息被泄露的损失还没有明确的界定和具体的衡量方法,这也是诉讼中的一大困难和障碍。(证券日报 刘 琪)