最近,国内第三方漏洞监测平台乌云发布报告,慧达驿站为国内大量酒店提供的无线门户认证系统存在信息泄露的安全隐患,通过这一漏洞,酒店客户的姓名、身份证号码、开房日期等敏感信息将一览无余。
在这其中我们看到知名快捷酒店如家、汉庭等赫然在列,相关涉事企业已经表示,确实发现了系统安全隐患,但是目前并没有发生泄密情况。这个漏洞是什么时候被发现的?酒店客户的敏感信息是否会有曝光的可能?
你住的酒店,安全吗?根据"乌云"发布的漏洞概要,信息泄露风险不仅存在于如家、7天等快捷酒店,也在东莞虎门东方索菲特等高档酒店出现。这些酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wifi管理和认证管理系统。由于慧达驿站的服务器上实时存储了酒店客户的记录,第三方可利用技术漏洞取得姓名、身份证号,开房日期、房间号等隐私信息。中国之声随即联系接近"乌云"的IT专家柴先生。对于这一次的漏洞,他解释,就目前掌握情况来看,泄密规模不算大,但其程度罕见。
柴先生:这个应该还要看数据泄漏的范围。因为公安部门的原因,这些酒店会收集一些数据,但是我看了它的泄漏方并不是酒店直接泄漏出去的,可能是通过第三方渠道泄漏的,规模不一定是很大,所以还要看具体数据的规模。
记者:您说这个第三方指的是什么东西?
柴先生:是不是有一些其他的渠道,通过一些手段,在批量地收集酒店的数据。
记者:木马程序这样的东西吗?
柴先生:有可能是木马,也有可能是贩买这样的。我看到有很多信息已经很精确了,像姓名、身份证号、邮箱啊,已经非常准确了,这种泄密的级别程度是比较严重的。
记者:是比较罕见的吗?应该说这样的级别?
柴先生:应该是比较罕见了。
虽然"罕见",却并不令他意外。
柴先生:实际上我们国家的网站包括软件服务商,在安全性防护上一直都有缺失,首先我们国家对于安全性包括这些网站的安全手段,缺乏强制的检查手段,出于成本的考虑,我估计这些公司他们的安全措施都不是非常到位。应该说这个问题由来已久了。
记者:能不能说但凡你输入过信息,都会有信息泄露的隐患?
柴先生:是的,没错。我们所有暴露给酒店的信息,理论上来说应该会被限定在一定的范围,它有一个边界,就是你的酒店知道、你的供应商知道,可能公安部门在法规要求下知道,别人按说是不知道的。如果措施到位的话,这个信息应该是安全的。目前的问题应该是出在他们信息的安全保密措施,还有他们网站的安全性建设上。
这一点,得到乌云法律顾问赵占领的确认。
记者:咱们国家现在有明确要求提供平台的这些网络公司隔多长时间检查自己的系统有没有漏洞,他们需要承担这样的义务吗?
赵占领:这个倒没有,没有这种具体的规定。
记者:现在就是说要不要修正漏洞全凭自觉是吗?
赵占领:对,现在是这样的。
慧达驿站发布声明称,其无线门户系统存在信息安全加密等级较低问题,有信息泄漏的安全隐患,慧达驿站的技术团队针对现有无线门户认证系统已完成全面升级。如家CEO孙坚则表示,如家得知此事后第一时间会同供应商做了处理,包括漏洞修补和软件升级,以求维护无线系统的安全性。记者随后致电如家多家门店,对信息泄露一说,店员均表示不知情;慧达驿站对此更是讳莫如深。
慧达驿站工作人员:这个我不是很清楚,您这边能不能留下一个联系方式,稍后我这边让我们同事给您回复呢?
慧达驿站工作人员:让我们这边市场部的总监主动跟您联系好吗?让他尽快地好吗?
慧达驿站工作人员丙:具体时间的话会尽快跟您联系,好吧?
"乌云"最早于10月5号向公众披露漏洞详情,事实上,在此前的8月21号,乌云已提前向厂商先行通报问题并等待其修复。柴先生说,这样的做法,符合惯例。
柴先生:一般像这种漏洞的发布都会有一个后台处理程序,首先会对这个漏洞进行分析,发现方会和网站管理员联系了以后,他们也会提供一些补救措施,一般来说不会直接向公众公布的。因为向公众发布以后有可能会带来一些额外的影响,带来一些附加的损失。
由于目前没有产生实际损失,不涉及赔偿问题;但如果将来事态变化,赵占领介绍,酒店客户可以直接向酒店索赔。
赵占领:顾客一旦入住酒店,酒店就应当采取技术和管理的措施保护顾客的信息安全。虽然说这些技术可能是第三方提供的,但合同具有相对性,他应当向顾客先承担违约责任之后,再去追究相关技术提供方的责任。
记者:也就是说如果我入住酒店、我的信息被泄漏了,我就先去告酒店,然后酒店如果觉得有必要,他再去告提供这个平台的公司。
赵占领:对,是这样的。