據(jù)中國之聲《新聞縱橫》報道���,"開房資訊遭洩露"����,這幾個字一齣,有人憂心忡忡���,會不會自己的資訊也被泄漏了呢����?也有人會不懷好意地笑了���。
最近,國內(nèi)第三方漏洞監(jiān)測平臺烏雲(yún)發(fā)佈報告�,慧達驛站為國內(nèi)大量酒店提供的無線門戶認證系統(tǒng)存在資訊洩露的安全隱患,通過這一漏洞�,酒店客戶的姓名、身份證號碼�����、開房日期等敏感資訊將一覽無余。
在這其中我們看到知名快捷酒店如家����、漢庭等赫然在列,相關涉事企業(yè)已經(jīng)表示�����,確實發(fā)現(xiàn)了系統(tǒng)安全隱患�����,但是目前並沒有發(fā)生泄密情況�。這個漏洞是什麼時候被發(fā)現(xiàn)的?酒店客戶的敏感資訊是否會有曝光的可能����?
你住的酒店,安全嗎�?根據(jù)"烏雲(yún)"發(fā)佈的漏洞概要,資訊洩露風險不僅存在於如家���、7天等快捷酒店����,也在東莞虎門東方索菲特等高檔酒店出現(xiàn)。這些酒店全部或者部分使用了浙江慧達驛站網(wǎng)路有限公司開發(fā)的酒店Wifi管理和認證管理系統(tǒng)���。由於慧達驛站的伺服器上實時存儲了酒店客戶的記錄���,第三方可利用技術漏洞取得姓名、身份證號���,開房日期����、房間號等隱私資訊�����。中國之聲隨即聯(lián)繫接近"烏雲(yún)"的IT專家柴先生����。對於這一次的漏洞,他解釋����,就目前掌握情況來看����,泄密規(guī)模不算大��,但其程度罕見��。
柴先生:這個應該還要看數(shù)據(jù)泄漏的範圍�。因為公安部門的原因�����,這些酒店會收集一些數(shù)據(jù)���,但是我看了它的泄漏方並不是酒店直接泄漏出去的���,可能是通過第三方渠道泄漏的,規(guī)模不一定是很大���,所以還要看具體數(shù)據(jù)的規(guī)模��。
記者:您説這個第三方指的是什麼東西��?
柴先生:是不是有一些其他的渠道�,通過一些手段�����,在批量地收集酒店的數(shù)據(jù)。
記者:木馬程式這樣的東西嗎���?
柴先生:有可能是木馬����,也有可能是販買這樣的��。我看到有很多資訊已經(jīng)很精確了�,像姓名、身份證號����、郵箱啊,已經(jīng)非常準確了���,這種泄密的級別程度是比較嚴重的�����。
記者:是比較罕見的嗎��?應該説這樣的級別�?
柴先生:應該是比較罕見了����。
雖然"罕見",卻並不令他意外�。
柴先生:實際上我們國家的網(wǎng)站包括軟體服務商,在安全性防護上一直都有缺失��,首先我們國家對於安全性包括這些網(wǎng)站的安全手段��,缺乏強制的檢查手段�,出於成本的考慮,我估計這些公司他們的安全措施都不是非常到位�����。應該説這個問題由來已久了�����。
記者:能不能説但凡你輸入過資訊����,都會有資訊洩露的隱患?
柴先生:是的�����,沒錯。我們所有暴露給酒店的資訊��,理論上來説應該會被限定在一定的範圍����,它有一個邊界,就是你的酒店知道�����、你的供應商知道���,可能公安部門在法規(guī)要求下知道���,別人按説是不知道的。如果措施到位的話����,這個資訊應該是安全的。目前的問題應該是出在他們資訊的安全保密措施���,還有他們網(wǎng)站的安全性建設上�����。
這一點�����,得到烏雲(yún)法律顧問趙佔領的確認�����。
記者:咱們國家現(xiàn)在有明確要求提供平臺的這些網(wǎng)路公司隔多長時間檢查自己的系統(tǒng)有沒有漏洞�����,他們需要承擔這樣的義務嗎��?
趙佔領:這個倒沒有���,沒有這種具體的規(guī)定。
記者:現(xiàn)在就是説要不要修正漏洞全憑自覺是嗎����?
趙佔領:對,現(xiàn)在是這樣的���。
慧達驛站發(fā)佈聲明稱�,其無線門戶系統(tǒng)存在資訊安全加密等級較低問題,有資訊泄漏的安全隱患����,慧達驛站的技術團隊針對現(xiàn)有無線門戶認證系統(tǒng)已完成全面升級。如家CEO孫堅則表示�,如家得知此事後第一時間會同供應商做了處理,包括漏洞修補和軟體升級���,以求維護無線系統(tǒng)的安全性����。記者隨後致電如家多家門店����,對資訊洩露一説,店員均表示不知情�;慧達驛站對此更是諱莫如深。
慧達驛站工作人員:這個我不是很清楚�����,您這邊能不能留下一個聯(lián)繫方式,稍後我這邊讓我們同事給您回復呢�����?
慧達驛站工作人員:讓我們這邊市場部的總監(jiān)主動跟您聯(lián)繫好嗎�����?讓他儘快地好嗎���?
慧達驛站工作人員丙:具體時間的話會儘快跟您聯(lián)繫,好吧�?
"烏雲(yún)"最早于10月5號向公眾披露漏洞詳情,事實上�,在此前的8月21號,烏雲(yún)已提前向廠商先行通報問題並等待其修復��。柴先生説�,這樣的做法,符合慣例����。
柴先生:一般像這種漏洞的發(fā)佈都會有一個後臺處理程式,首先會對這個漏洞進行分析���,發(fā)現(xiàn)方會和網(wǎng)站管理員聯(lián)繫了以後�,他們也會提供一些補救措施,一般來説不會直接向公眾公佈的�。因為向公眾發(fā)佈以後有可能會帶來一些額外的影響,帶來一些附加的損失����。
由於目前沒有産生實際損失,不涉及賠償問題���;但如果將來事態(tài)變化��,趙佔領介紹����,酒店客戶可以直接向酒店索賠����。
趙佔領:顧客一旦入住酒店,酒店就應當採取技術和管理的措施保護顧客的資訊安全��。雖然説這些技術可能是第三方提供的�,但合同具有相對性,他應當向顧客先承擔違約責任之後����,再去追究相關技術提供方的責任�����。
記者:也就是説如果我入住酒店��、我的資訊被泄漏了�����,我就先去告酒店����,然後酒店如果覺得有必要���,他再去告提供這個平臺的公司。
趙佔領:對����,是這樣的。(記者沈靜文 李楊)
