URL:.chinanews.com.cn/sh/2013/10-12/5367934.shtml  網上流傳的住客信息(涉及隱私,迷你倉本報模糊化處理)。技術商稱不是真的泄密,“是相關機構作為技術驗證漏洞的展示”。  4500家酒店開房信息“被上網”?  如家稱已修復,漢庭稱“躺槍”;技術商很“爺們”:全是我們的錯,但沒泄密只是漏洞展示  于軼婷 李沖 徐曉風  如家、莫泰168連鎖酒店、金一村連鎖酒店、速8連鎖、7天連鎖、格林豪泰等紛紛“中彈”  酒店  Wifi  使用浙江慧達驛站網絡有限公司開發的酒店Wifi管理、認證管理系統  慧達驛站在其服務器上將信息實時存儲,包括客戶名、身份證號、開房日期、房間號等  慧達驛站  服務器  長假剛剛過去,昨天的一個消息讓不少“住客”嚇了一跳:如家、漢庭等酒店的開房記錄遭泄露:入住的客人,身份證號,入住、退房時間等信息都可以在網上查到。  消息稱,國內第三方漏洞監測平台烏雲(.wooyun.org)日前發佈報告,指國內一家大型酒店數字客房服務商“慧達驛站”為國內4500家酒店提供的無線門戶認證系統,但該系統存在信息泄漏的安全隱患。  報告一經披露引發了不小的關注。不少網友很擔心,自己的個人信息會被泄露。這次信息泄露規模有多大,我們的信息還安全嗎?對此,揚子晚報記者進行了採訪。 實習生 于軼婷 揚子晚報記者 李沖 徐曉風  發佈漏洞方:  8月份就通知廠商了,現在早改好了  昨天,揚子晚報記者聯繫到發佈存在泄密漏洞的“烏雲”方工作人員。  他們表示,浙江慧達Wifi服務機構將所有用戶信息儲存在互聯網上,盡管有密碼的驗證限制,但由於安全意識不足,在進行密碼驗證過程中並未對傳輸數據進行加密,導致任何第三方可以輕鬆截獲到服務器傳遞的明文密碼,“有了這個密碼,就可下載該公司存儲的酒店用戶數據了。”  工作人員告訴揚子晚報記者,烏雲發現並確認漏洞是在8月份,隨後按照標準流程通知廠商,現在經過兩個月的修復周期,已經查不了了,才將細節進行公佈。“這個問題是因為數據保管方安全意識薄弱導致的,沒有遭遇到黑客襲擊。”工作人員對揚子晚報記者說,這次在沒有擴大影響之前就將漏洞通知給技術商並修復,所以影響不大。  存在漏洞方:  慧達驛站“很爺們”,全是我們的錯!  慧達驛站的用戶在全國有4500多家星級和經濟連鎖酒店,從其客戶數量也可看出此次事件的覆蓋面之廣。  此事件發生後,在大部分酒店還未來得及回應之時,慧達驛站已率先發表聲明,包攬了全部責任:稱有關無線門戶系統的安全性問題,是慧達驛站的責任,與任何酒店客戶無關。  昨天,揚子晚報記者也聯繫到了浙江慧達驛站的工作人員,但他們表示所有發言已經以公告形式進行了發佈。  慧達驛站在《釋疑酒店住客信息泄露事件》的升級公告中表示,無線門戶系統確實存在信息安全加密等級較低問題,有信息泄露的安全隱患,目前已經對現有認證系統完成全面升級,住客信息已被加密保護。“截屏中的住客信息未發生泄密情況,截屏信息是相關機構作為技術驗證漏洞的展示。截至10月8日,相關截屏的住客信息未發生實質性的泄密結果。”慧達驛站工作人員表示,有關無線門戶系統的安全性問題,是自己的責任,與任何酒店客戶無關。  慧達驛站市場部工作人員對記者說,那些信息是加密的,不屬於互聯網上的公共資源,普通人是查不到的,並且現在已經對信息加密等級做了升級,各個酒店客戶那兒都用的是更新的版本,現在已消除安self storage隱患。  酒店怎麼說?  南京如家:我們沒泄露信息  昨天,揚子晚報記者撥打南京多家如家的電話,各家都表示不存在信息泄露。比如如家大廠步行街店只有特定的樓層才有wifi,使用時不需要輸入房號或者其他個人信息,只要密碼就行。  另外,如家快捷酒店CEO孫堅在公開場合表示,如家確實是慧達驛站的合作伙伴,知道此事之後,已經第一時間做了處理,包括漏洞修補和軟件升級。孫堅表示,目前如家正在積極找尋第三方對系統進行進一步認證,對品牌商來說,客人的信息安全是特別重要的。  南京漢庭:不用“慧達”很久了  記者瞭解到,漢庭酒店在此事披露之後,一直發佈聲明回應稱,漢庭當前與慧達驛站並無官方合作,慧達驛站也不是漢庭快捷酒店的官方認證運營商。雖然翻閱慧達驛站的官網,可以發現裡面包括了漢庭酒店,但是漢庭表示,之前曾有過合作,但目前早已終止。  而慧達驛站也在官方聲明中強調,公司的無線門戶業務領域與漢庭酒店確實沒有合作關係。  一位黑客對揚子晚報揭秘  客戶信息以前“一元一位” 現在賣不上錢,“黑”了沒勁  就快捷酒店住客信息泄露事件,揚子晚報記者昨天採訪了上海一位電腦高手小宋。小宋以前曾經也玩過純技術“黑客”,目前是一家公司的專職安全技術人員。  找到漏洞就能竊取  小宋告訴揚子晚報記者,從理論上來說,酒店也是企業,只要是電腦信息系統,就存在信息泄露的可能。從技術上來說,如果有電腦黑客想竊取酒店數據,只要能找到軟件的漏洞,編寫木馬病毒攻擊竊取數據,或者想辦法進入酒店電腦內部系統,還是有可能的。  個人信息不好賣了  “不過現在黑客不像傳說中的那麼可怕。事實上大部分黑客都是單純的電腦技術愛好者,搞違法活動的極少。”小宋說,2008年以前,國內各種黑客網站一度泛濫,不過後來國家監管越來越嚴,加上殺毒產業越來越興盛,絕大部分黑客都已經收山不幹了。“比如以前有黑客攻擊一些國內外的大型購物網站,將信息數據庫偷到手,就可以轉手倒賣客戶信息。以前最高能賣1元/條,現在價格降得厲害,賣不上價錢了。”  兩種手段“賺黑錢”  小宋說,黑客賺黑錢有幾種途徑:一個是做一些木馬病毒什麼的通過漏洞攻擊網站盜取數據庫,然後倒賣信息。比如前些時間有個被曝光的黑客團隊,搞了一個非法售賣汽車車主信息的網站,聲稱“可查全國車主個人身份信息”,並可詳細獲知車主的“居住地址、姓名、電話、身份證號碼、發動機號碼”。在該網站上,有關車主的個人資料明碼標價僅售130元一套。“主要被用于製造‘套牌車’。”小宋說。  還有一種所謂“商務調查”黑網站,前不久曾被瑞星公司曝光過,這類網站打著私家偵探的旗號,宣稱向客戶提供查詢他人住址、電話、身份證號碼、戶籍、手機短信內容、通話記錄、QQ聊天記錄、開房記錄等一系列“服務”。  不過小宋說,現在這類黑客手段被打擊得厲害,“一旦被抓到是要接受法律制裁的”。  律師說法:  如果真泄露信息了 技術商和酒店都擔責  好在這次多家酒店泄密隱患在沒有擴大之前就已制止。可是,萬一真發生客戶信息泄密,該怎麼辦呢?揚子晚報記者採訪了江蘇衡鼎律師事務所的周友權律師。  周律師表示,如若真發生信息泄露情況,技術商肯定要承擔過錯責任,具體如何賠償要視被害人要求和實際損失情況而定。另外,雖然慧達驛站方面發表通告稱“有關無線門戶系統的安全性問題,是慧達驛站的責任,與任何酒店客戶無關”,但是被害人仍然可以要求酒店與慧達驛站承擔連帶責任,而二者怎樣分擔要看各自的過錯程度。迷利倉
arrow
arrow
    全站熱搜

    sgusers9 發表在 痞客邦 留言(0) 人氣()