多家連鎖酒店開房記錄疑遭泄露回應：漏洞已修補

來源:閩南網 2013-10-12 07:32 http://www.iosapp77.com/ 海峽都市報電子版

烏云下載的一家如家酒店客戶信息，
客戶的身份證號、房間號碼和入住時間等信息均可清楚看到

　　閩南網10月12日訊近日，國內安全漏洞監(jiān)測平臺烏云(WooYun.org)發(fā)布報告稱，如家等大批酒店的開房記錄被第三方存儲，并因此存在可能被泄露的風險。

　　記者調查發(fā)現，涉事的系統(tǒng)提供商、浙江慧達驛站公司（以下簡稱“慧達驛站”）還和國內多家連鎖酒店有合作關系，除了如家外，還包括速8、錦江之星、7天等知名連鎖酒店。

　　記者昨日走訪這些酒店，工作人員均表示只負責軟件使用，系統(tǒng)由總部統(tǒng)一維護。速8酒店總部回應稱，酒店的訂房系統(tǒng)是公司自主管理的，不會存在信息泄露，但因是加盟體系，不排除個別門店在WiFi服務上與慧達驛站可能有合作。如家則向本網發(fā)來聲明，稱已第一時間對漏洞進行檢查，并迅速修復。

　　不過，據新浪財經報道，大部分酒店還未來得及回應，慧達驛站已發(fā)表聲明，包攬了全部責任，稱有關無線門戶系統(tǒng)的安全性問題，是慧達驛站的責任，與任何酒店客戶無關，并稱住客信息并未發(fā)生泄露，目前已完成了全面升級并修補了漏洞。

——事件——

酒店系統(tǒng)存漏洞住客信息疑遭泄露

　　根據烏云的報告，國內多家酒店如漢庭、如家、7天連鎖酒店、南苑e家、格林豪泰連鎖酒店、布丁酒店、杭州維景國際大酒店等，使用了浙江慧達驛站網絡有限公司開發(fā)的酒店Wifi管理、認證管理系統(tǒng)，但是該系統(tǒng)存在漏洞。

　　該漏洞早在8月份就已經被發(fā)現并確認，隨后按照標準流程通知廠商，并逐步向專家和技術人員公開，而如今已將漏洞細節(jié)公之于眾，也交給了CNCERT國家互聯(lián)網應急中心進行處理。

　　據新浪財經報道，慧達驛站創(chuàng)立于2005年12月，注冊資本1925萬元，是當前中國最大的酒店數字客房服務商，公司業(yè)務覆蓋全國31個省市自治區(qū)，110多個城市，4500多家星級和經濟連鎖酒店，從其客戶數量也可看出此次事件的覆蓋面之廣。

　　根據烏云的報告，慧達的Wifi系統(tǒng)要求客戶在登入無線網絡時進行網頁認證，需上傳住客的實名信息，包括客戶名、開房日期、房間號等敏感信息會在慧達的服務器上實時存儲。由于其認證用戶名跟密碼是明文傳輸，各個途徑都可能被黑客嗅探到并遭到泄露。

　　“用明文傳輸用戶名和密碼，確實是比較低級別的，幾乎沒有任何安全防護。有心人通過技術手段，就可以輕易地竊取到該用戶名和密碼。”泉州市一名計算機業(yè)方面的專家陳先生告訴記者(http://www.iosapp77.com/)，現在安全等級較高的是網銀等系統(tǒng)，客戶提交的用戶名、密碼都要經過重重加密。

　　烏云的這份報告中，還將如家酒店作為典型，通過截屏的形式，披露了如家的一部分開房記錄，里面包含了詳細的客戶姓名、身份證號碼等。

點擊進入閩南網論壇>>