昨日，烏云將下載的一家如家酒店客戶信息提供給本報(bào)記者，客戶的身份證號(hào)、房間號(hào)碼和入住時(shí)間等信息均可清楚看到。烏云供圖

漏洞報(bào)告貼出客戶資料泄露過程，客戶姓名、身份證號(hào)、入住時(shí)間和房號(hào)均可見

本報(bào)訊(記者 劉倩雯)近日，國內(nèi)安全漏洞監(jiān)測平臺(tái)烏云發(fā)布報(bào)告稱，如家、漢庭等大批酒店的客戶開房記錄因被第三方存儲(chǔ)和系統(tǒng)漏洞而泄露。

報(bào)告稱數(shù)據(jù)傳輸過程未被加密

烏云報(bào)告稱，如家、咸陽國貿(mào)、杭州維景國際和驛家365快捷等酒店，全部或者部分使用了浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司開發(fā)的酒店wifi管理、認(rèn)證管理系統(tǒng)，但由于系統(tǒng)中存在漏洞，使得酒店在使用過程中存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

報(bào)告中，烏云曝光了網(wǎng)上下載酒店客戶信息的過程，并將相關(guān)網(wǎng)頁截圖，包括登錄身份驗(yàn)證頁面。成功下載的客戶信息中完整記錄了入住酒店旅客的身份證、入住時(shí)間、入住的房間號(hào)碼等隱私信息。

烏云在回復(fù)本報(bào)采訪時(shí)解釋，浙江慧達(dá)wifi服務(wù)機(jī)構(gòu)將所有用戶信息儲(chǔ)存在互聯(lián)網(wǎng)上，并允許相關(guān)對象或需求方進(jìn)行下載與讀取。盡管有密碼的驗(yàn)證限制，但由于安全意識(shí)不足，在進(jìn)行密碼驗(yàn)證過程中并未對傳輸數(shù)據(jù)進(jìn)行加密，導(dǎo)致任何第三方可以輕松截獲到服務(wù)器傳遞的明文密碼，“有了這個(gè)密碼，就可下載該公司存儲(chǔ)的酒店用戶數(shù)據(jù)了。”

漢庭辯解稱使用自有系統(tǒng)

“對不起，我是他同事，稍后晚點(diǎn)回復(fù)您。”昨日，記者致電如家酒店公關(guān)經(jīng)理葉秉喜手機(jī)時(shí)，對方如此回復(fù)，截至記者發(fā)稿前，都未能聯(lián)系上葉秉喜。

漢庭酒店方則解釋稱，漢庭酒店的入住系統(tǒng)是由總部技術(shù)部設(shè)置的，并且表示并未聽說過浙江慧達(dá)驛站這家公司。關(guān)于旅客入住信息被泄露的問題，漢庭解釋說，“這個(gè)消息是一些小的網(wǎng)站披露的，消息本身就是沒有得到證實(shí)的。”

事實(shí)上，在10月8日，廠商已經(jīng)對漏洞事件做出說明，承認(rèn)住客驗(yàn)證登入酒店無線網(wǎng)絡(luò)的信息同步技術(shù)存在安全隱患。浙江慧達(dá)表示已在第一時(shí)間完成系統(tǒng)升級(jí)，漏洞已修補(bǔ)。

昨日，烏云將下載的一家如家酒店客戶信息提供給本報(bào)記者，客戶的身份證號(hào)、房間號(hào)碼和入住時(shí)間等信息均可清楚看到。