事件 系统存漏洞 酒店客户信息泄露 乌云的报告显示,此次事件涉及如家、汉庭、7天、速8、格林豪泰等一批知名连锁酒店,以及咸阳国贸、杭州维景国际、东莞虎门东方索菲特等星级酒店,这些酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统。 乌云在报告中解释了泄密的原因:用户连接到酒店的开放Wi-Fi,上网时会被要求通过网页认证。由于这个认证是在浙江慧达驿站的服务器上完成的,所以慧达驿站的服务器也保存了一份酒店客户信息。 报告称,客户信息的数据是同步通过http协议实现的,但认证用户名跟密码是明文传输的,通过各个途径都可能被嗅探到。只要得到认证信息,就可以从数据服务器上获得酒店上传的所有客户开房信息。 据介绍,慧达驿站的服务器上实时存储了上述酒店登记的客户名、身份证号码、开房日期、房间号等大量敏感隐私信息。 追访 如家称漏洞已修复 汉庭称未接客户反馈 昨天下午,如家酒店上海总部相关负责人表示,公司已确认报告中所指的慧达驿站网络有限公司是其无线网络服务供应商。而在看到乌云发布的报告之后,酒店方面立即与供应商沟通,目前已经修复了这个漏洞,并推出安全程序。 之后汉庭酒店所属的华住酒店集团,一名客服表示,已经看过相关新闻,但目前并没有接到客户关于自己信息被泄露的反馈,“所谓泄露隐私,我们从来没有听说过”。 当询问汉庭酒店的无线网管理、认证管理系统是否由慧达驿站提供时,该客服表示:“系统一直由我们总部的人员在维护,是自己的还是别人的(系统),我们没有接到这个通知”。 上午,慧达驿站官方网站发现其已在官方网站首页挂出通告。慧达驿站在通告中承认,该公司的无线门户系统存在信息安全加密等级较低问题,确有信息泄露的安全隐患。目前,该公司技术团队已针对现有无线门户认证系统完成全面升级。 通告强调,有关无线门户系统的安全性问题,是慧达驿站的责任,与任何酒店客户无关。慧达驿站同时表示,在无线门户业务领域与汉庭酒店(华住集团)没有合作关系。 体验 无线密码设置简单 可从前台轻松获得
在汉庭快捷酒店梨园店的大厅里,以手机搜索到无线网络并尝试登录,发现其只要求输入密码,并不需要输入房间号等信息。 |