一份被泄露的酒店開房記錄正在形成一團烏云,讓牽涉其中的如家、華住和錦江之星等知名連鎖酒店措手不及,上周末,它們都在忙著擬寫聲明。
日前,國內安全漏洞監測平臺烏云網發布報告稱,如家、漢庭等大批酒店的開房記錄因存在第三方存儲和系統漏洞而被泄露。昨日,如家、華住、港中旅、錦江之星等紛紛發表聲明,稱不涉及泄露資料。
法律界人士則表示,烏云網的手法游走在“灰色地帶”,涉嫌侵權,目前,酒店客戶資料安全管理的確是個問題,但不應通過公之于眾的方式進行。
公布開房記錄是按流程操作烏云網報告稱,如家、咸陽國貿、杭州維景國際和驛家365快捷等全部或者部分使用了浙江慧達驛站網絡有限公司(下稱“浙江慧達”)開發的酒店WiFi管理、認證管理系統。而浙江慧達在服務器上實時存儲了這些酒店客戶的記錄,包括客戶名、身份證號、開房日期和房間號等隱私信息。因浙江慧達系統存在漏洞,使這些信息存在被泄露的風險。
2010年5月上線的烏云網,是一家網絡漏洞報告平臺,用戶在這里自由上傳漏洞信息,等待廠商核實并修復;因先后被曝出CSDN、天涯、當當、京東商城等網站存在安全漏洞,于2011年聲名鵲起。
業內人士“不喝可樂男”告訴《第一財經日報》,它在圈內很知名,烏云網就是一個“黑客”聚集之地。不過,他們都是“白帽子”。“白帽子”們的戰斗方式是:挖掘網站中的安全漏洞,在“黑帽子”利用它們之前,提交到平臺上,或者向廠商報告,希望廠商及時進行修復。
在“黑客”的世界中,可被分為三種類型,第一類:白帽子,也即正面的“黑客”,他可以識別計算機系統或網絡系統中的安全漏洞,但并不會惡意去利用,而是公布其漏洞,讓系統在被其他人利用之前來修補漏洞;第二類:灰帽子,他們擅長攻擊技術,但不輕易造成破壞;他們精通攻擊與防御,同時頭腦里具有信息安全體系的宏觀意識;第三類:黑帽子,他們研究攻擊技術,唯一的目的就是惹是生非。
“我們并不是一個組織,只是一個平臺聚集了一些愛好安全技術的人。很多白帽子都來這里分享漏洞,也只有得到核實并已經采取防范措施解決問題后才會被公開。”昨日,烏云網相關負責人向記者證實,該漏洞早在8月21日就已被發現,在通知廠商后,按照流程于10月5日進行了公開,而消息在10月10日散布到了大眾網絡。
“雖然浙江慧達說已升級了系統堵上了漏洞,但在漏洞未發現前的這一段時間內,這些開房記錄依然有已經被竊取泄露的風險。”上述人士稱,這次發布其實透露了一種擔心——既然他們可以拿到賓館的住宿信息,那么就不能排除還有其他人早于他們竊取相關資料的可能,“我們實際上保護的是廠商的用戶,但是很多廠商基于公關的考慮,都極力回避(安全漏洞)這些問題,所以我們想借這個平臺來更好地做這個事情。”
烏云網法務顧問趙占領律師也表示,此次泄露事件其實僅僅是流程中的一次普通發布。
上述烏云網負責人稱,涉事酒店全部或者部分使用了浙江慧達開發的酒店WiFi管理、認證管理系統。而事情就由此而起——簡單地說,由于各個酒店使用了這套系統,因此該公司在其服務器上實時存儲了這些酒店客戶的記錄,由于客戶信息在數據同步時所使用的認證用戶名、密碼都是明文傳輸的(正是這點讓泄露出現了可能),很容易就可以被專業人員從其數據服務器上獲得酒店上傳的客戶信息。
安全與侵權隱患目前,連鎖酒店的無線IT系統通常有兩種管理模式,一為自行研發;二為使用第三方系統。前者需要不菲的研發資金和人力,相對而言安全把控性高;后者研發投入低,但存在安全風險。
本次泄露風波的關鍵當事方就是被指存在漏洞的浙江慧達。
浙江慧達方面表示,經查證,無線門戶系統存在信息安全加密等級較低問題,有信息泄漏的安全隱患,浙江慧達的技術團隊針對現有無線門戶認證系統已完成全面升級,感謝烏云網對浙江慧達提升產品安全性的幫助。有關無線門戶系統的安全性問題,是浙江慧達的責任,與任何酒店客戶無關。浙江慧達同時聲明,在無線門戶業務領域與漢庭酒店、咸陽國貿大酒店、杭州維景國際大酒店、驛家365快捷酒店、東莞虎門東方索菲特酒店客戶沒有合作關系。
昨日,如家方面向記者表示,與其合作的無線信息技術服務供應商確實是浙江慧達,酒店對此非常重視,已與浙江慧達方面配合,對漏洞進行了檢查和修補。如家同時稱,將吸取此次教訓,建立長效機制,未來將“確保顧客安全”。
而華住及錦江之星方面均表示,在無線項目上與浙江慧達并無合作。華住方面還表示,保留對烏云網進一步追訴的權利。
浙江慧達市場總監韓先生在接受記者采訪時稱,對于造成的損失,單純是技術層面的,沒有直接造成客戶信息的泄露。目前,其安全等級已經達到國家應急中心的檢測標準,并確認修復漏洞。
韓先生再次重申,與漢庭等酒店的合作,并沒有在WiFi門戶系統認證這一塊,而是其他產品。
記者昨日登錄浙江慧達網站,點擊其合作伙伴一欄,顯示“系統正在維護中”而無法訪問。
此外,針對烏云網發布的有關浙江慧達無線門戶認證的漏洞,國家互聯網應急中心(CNCERT)運行管理部的有關人士對浙江慧達實施的修復措施進行了針對性的檢查,確認該漏洞已被修復。
“據業內反映,與浙江慧達進行無線合作的酒店不多,但全國數千家酒店,總有部分酒店使用過浙江慧達的電腦租賃,而使用其電腦也存在風險,因此安全隱患需重視。”一位經濟型酒店業者指出。
“從法律角度來講,烏云網被業界認為是通過一些‘黑客’手段尋找漏洞,按此說法,烏云網本身涉嫌侵權,因為其通過非正當手段獲取數據尋找漏洞。假如烏云網是一名‘善意的黑客’,其目的僅是為幫助企業修補漏洞,那么烏云網應該私下就找出的漏洞與企業溝通,而不是公之于眾。要知道酒店登記入住涉及個人隱私和資料,一旦信息被泄露不僅涉嫌對企業侵權,也涉嫌對個人侵權,假如客人因此狀告酒店而酒店再以侵權狀告烏云網,那么烏云網就會很麻煩。”上海袁圓律師事務所陳軍律師分析。
