在互联网面前,真的没有安全可言了。这不,国内大批酒店或将泄漏您的开房记录。
近日,国内安全漏洞监测平台乌云(WooYun.org)发布报告称,如家、汉庭等大批酒店的开房记录被第三方存储,并且因为相关漏洞而已泄露。
据悉,该漏洞最先由作者“Yep”发现并在8月21日在">乌云平台上提交,随后按照标准流程通知了酒店技术服务方浙江慧达驿站网络有限公司(以下简称:慧达驿站),并逐步向专家和技术人员公开,而如今已将漏洞细节公之于众,也交给了CNCERT国家互联网应急中心进行处理。
截止目前,仅有汉庭酒店对此事件进行了否认,称公司并未使用慧达驿站的任何设备。
漏洞发现者称,如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记录,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。
以下为双人开房的~
为何会存在漏洞?漏洞作者介绍称,与慧达驿站合作的酒店整个业务逻辑如下:
当用户连接到他们酒店的开放wifi,上网时会被要求通过网页认证。但这个认证不是在酒店服务器完成的,而是在 浙江慧达驿站他们服务器上,所以这个服务器也理所当然存了一份酒店客户信息。客户信息的数据同步是通过http协议实现的,然后,需要认证。但是认证用户名跟密码是明文传输的,各个途径都可能被被嗅探到。然后用这个认证信息,就可以从他们数据服务器上获得所有酒店上传的客户开房信息,所以存在资料泄露的可能。
资料显示,与慧达驿站合作的酒店包括了如家、汉庭、7天连锁、速8连锁、格林豪泰、富驿酒店、锦江之星和维亚纳等20家。按此来算,受到影响的客户数量应该会比较大。
针对该事,汉庭酒店在10月8日在跟帖中回复称,集团并未使用过慧达驿站的任何设备,也不存在信息泄露的问题。以下为回应全文:
该报告内容涉及的厂商我们集团没有使用过任何该厂商设备,我们的WIFI认证平台全部为自开发,认证机制也完全不同,无信息保存于第三方,该白帽的漏洞报告存在误导,同时他的报告内容也没有任何能证明华住旗下酒店有使用该产品且存在漏洞的信息,请各位白帽不要只看标题,谢谢。
截止发稿前,其它几家酒店还未就此进行表态。