乌云网公布的住宿资料泄露的截图。
10月12日昨天的微博上,关于浙江最热的话题有两个:一是余姚,二是慧达。
“慧达”的全名叫做浙江慧达驿站网络有限公司,位于杭州土山弄。让这家网络公司突然成了视线焦点的原因,来自于数日前国内安全漏洞监测平台乌云网(WooYun.org)发布的一份报告——如家、杭州维景国际大酒店等一大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。泄露的信息包括开房人的身份证号、住宿房号、入住/退房时间、同一房间的入住人数及各自身份。甚至还有网络传言说,某明星的住宿资料也在其中。
和个人信息捆绑,又牵涉到大量连锁酒店,消息一出,立刻引起了业内的高度关注,许多曾住过这些酒店的人都很担忧:“我的信息又要被卖了吗?”
真相究竟如何?又有多少家宾馆多少记录被泄露?这些信息是如何被人窃取的?我们试图拨开这些谜云——
被公开的住宿资料中
姓名身份证房号都有
咱们首先来认识一下本次事件的两位主角——
浙江慧达驿站网络有限公司,是一家为酒店提供数字化服务,构建信息平台的网络公司。
乌云网,2010年5月上线,是一家网络漏洞报告平台,用户在这里自由上传漏洞信息,并等待厂商核实并修复。业内人士告诉记者,它在圈内很知名,“很多黑客都来这里分享漏洞,而只有得到核实并已经采取防范措施解决问题后才会被公开。”
简单来说,一个是系统开发者,一个是第三方监控者。
在2份被公开的酒店客户开房记录单上,记者看到信息内容很详细:房间号、身份证号、是否有人同住、同住人姓名及拼音、登记人姓名及拼音、入住时间、退房时间等等都有——这些信息显示,入住的时间多为7月底~8月中旬。
公告称,存在漏洞系统的研发公司还和包括速8、7天连锁、南苑e家、格林豪泰、莫泰168等多家宾馆合作。
“这些信息的泄露和一个系统漏洞有关。”乌云网工作人员说,该漏洞早在8月21日就已被发现,在通知厂商后,按照流程于10月5日进行了公开,而消息在10月10日散布到了大众网络。
他告诉记者,涉事酒店全部或者部分使用了浙江慧达驿站网络有限公司(下称“慧达”)开发的酒店Wi-Fi管理、认证管理系统。而事情就由此而起——简单地说,由于各个酒店使用了这套系统,因此该公司在其服务器上实时存储了这些酒店客户的记录,而由于客户信息在数据同步时所使用的认证用户名、密码都是明文传输的(正是这点让泄露出现了可能),很容易就可以被专业人员从其数据服务器上获得酒店上传的客户信息。
乌云网的法务顾问赵占领律师告诉记者,此次泄露事件其实仅仅是流程中的一次普通发布。
而乌云网的工作人员也在微博上回复记者:其实这次发布透露了一种担心——既然他们可以拿到宾馆的住宿信息,那么就不能排除还有其他人早于他们窃取相关资料的可能。虽然慧达说已升级了系统堵上了漏洞,但在漏洞未发现前的这一段时间内,这些开房记录依然有已被窃取泄露的风险。
“慧达”释疑:
安全隐患已补漏
无论宾馆方的客户资料是否曾流出,但泄露可能性的存在把慧达推到了风口浪尖。前天,该公司发布一份“释疑通告”,并承揽了所有责任。
通告称,无线门户系统存在信息安全加密等级较低问题,有信息泄漏的安全隐患,技术团队也在第一时间针对现有无线门户认证系统进行了全面升级。一方面对第三方漏洞监测平台乌云(www.wooyun.org)的帮助表示感谢,另一方面也对酒店顾客深表歉意。
通告中还有两项内容很抓眼球:
第一,慧达驿站在无线门户业务领域与汉庭酒店(华住集团)、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店客户没有合作关系;
第二,有关无线门户系统的安全性问题,是慧达驿站的责任,与任何酒店客户无关。
“加密等级的确较低,这个方面公司存在不足。”慧达驿站相关负责人姚磊磊昨天显得异常忙碌,他和记者的会面仅仅进行了不到半个小时,就要赶去其他酒店进行会谈。
对于媒体的相关报道,他认为是产生了误读:截屏信息是相关机构作为技术验证漏洞时展示,并没有发生客观上的泄密。不过他说,自己是行政管理人员,无法回答记者提出的“系统存在哪些漏洞”、“被公布的开房信息是从哪里来的”等技术性问题。
涉及酒店态度各一
否认、自查皆有
被曝泄露开房记录的酒店很多,和杭州有关的包括如家、杭州维景国际大酒店(下称“维景国际”)、汉庭、速8、7天连锁等。
乍一眼看去,大家常住的连锁酒店几乎都在。
如家武林广场中心店经理毛夏苗说自己对该事件有所了解,但在总部下达相关通知前不能接受媒体采访。至于wifi,她说客房部并不提供无线,理论上不会造成客户信息泄露。而如家浙江区一位负责人对记者承认,和慧达驿站的确有合作,但是不是泄露了客户资料自己并不清楚,这个问题应该去问技术人员。
维景国际公关部徐虹则告诉记者,酒店方和慧达驿站方面的合作几乎和无线门户领域没有关系,根本不存在客户信息泄露问题。他们正和慧达驿站联系,强烈要求澄清事实。
此外,大部分被乌云网点名的酒店都对客户资料泄露发声否认,同时承诺说技术人员正在进行细致排查,以保证数据库及网络安全。
浙江省饭店业协会秘书长杜觉祥也很担心,他说杭州目前的星级酒店就有近300家,如果算上经济型酒店,总量可能超过1千个,网络平台一旦出现漏洞后果严重。“酒店一般有三个系统:运行管理系统、财务管理系统、安全监控管理系统,前2个系统没有外网端口接入,最可能出现问题的就是这个安全监控管理系统。”
杜觉祥告诉记者,目前协会正在密切关注这一事态的发展,并会以积极姿态介入。“如果需要,协会将会发动会员单位进行针对性筛查,并在法律咨询、预防措施、技术邀请等方面提供帮助。”