【文匯網訊】據財經網報道,國內安全漏洞監測平台烏雲(WooYun.org)近日發佈報告,稱如家、漢庭等大批酒店的開房記錄被第三方存儲,並且因為漏洞而洩露。
該漏洞早在8月份就已經被發現並確認,隨後按照標準流程通知廠商,並逐步向專家和技術人員公開,而如今已將漏洞細節公之於眾,也交給了CNCERT國家互聯網應急中心進行處理。
漏洞發現者稱,如家、漢庭、咸陽國貿大酒店、杭州維景國際大酒店、驛家365快捷酒店、東莞虎門東方索菲特酒店全部或者部分使用了浙江慧達驛站網絡有限公司開發的酒店Wi-Fi管理、認證管理系統,而慧達驛站在其服務器上實時存儲了這些酒店客戶的記錄,包括客戶名(兩個人的話都會顯示)、身份證號、開房日期、房間號等大量敏感、隱私信息。
結果因為某種原因,這些信息是可以被黑客拿到的。
漏洞的根源在於慧達驛站公司管理機制的不完善,因為他們的系統要求酒店在提交開放記錄的時候進行網頁認證,但不是在酒店服務器上,而要通過慧達驛站自己的服務器,理所當然地就存下了客戶的信息。
另外,客戶信息的數據同步是通過http協議實現的,需要認證,但是認證用戶名、密碼竟然是明文傳輸的,各個途徑都可能被輕鬆嗅探到,用這個認證信息就可以從他們數據服務器上獲得所有酒店上傳的客戶開房信息。
大部分酒店目前尚未公開回應,不過據稱漢庭方面正在努力公關、推卸責任。 |