一份被泄露的酒店开房记录正在形成一团乌云,让牵涉其中的如家、华住和锦江之星等知名连锁酒店措手不及,上周末,它们都在忙着拟写声明。
日前,国内安全漏洞监测平台乌云网发布报告称,如家、汉庭等大批酒店的开房记录因存在第三方存储和系统漏洞而被泄露。昨日,如家、华住、港中旅、锦江之星等纷纷发表声明,称不涉及泄露资料。
法律界人士则表示,乌云网的手法游走在“灰色地带”,涉嫌侵权,目前,酒店客户资料安全管理的确是个问题,但不应通过公之于众的方式进行。
公布开房记录是按流程操作
乌云网报告称,如家、咸阳国贸、杭州维景国际和驿家365快捷等全部或者部分使用了浙江慧达驿站网络有限公司(下称“浙江慧达”)开发的酒店WiFi管理、认证管理系统。而浙江慧达在服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期和房间号等隐私信息。因浙江慧达系统存在漏洞,使这些信息存在被泄露的风险。
2010年5月上线的乌云网,是一家网络漏洞报告平台,用户在这里自由上传漏洞信息,等待厂商核实并修复;因先后被曝出CSDN、天涯、当当、京东商城等网站存在安全漏洞,于2011年声名鹊起。
业内人士“不喝可乐男”告诉《第一财经日报》,它在圈内很知名,乌云网就是一个“黑客”聚集之地。不过,他们都是“白帽子”。“白帽子”们的战斗方式是:挖掘网站中的安全漏洞,在“黑帽子”利用它们之前,提交到平台上,或者向厂商报告,希望厂商及时进行修复。
在“黑客”的世界中,可被分为三种类型,第一类:白帽子,也即正面的“黑客”,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞,让系统在被其他人利用之前来修补漏洞;第二类:灰帽子,他们擅长攻击技术,但不轻易造成破坏;他们精通攻击与防御,同时头脑里具有信息安全体系的宏观意识;第三类:黑帽子,他们研究攻击技术,唯一的目的就是惹是生非。
“我们并不是一个组织,只是一个平台聚集了一些爱好安全技术的人。很多白帽子都来这里分享漏洞,也只有得到核实并已经采取防范措施解决问题后才会被公开。”昨日,乌云网相关负责人向记者证实,该漏洞早在8月21日就已被发现,在通知厂商后,按照流程于10月5日进行了公开,而消息在10月10日散布到了大众网络。
“虽然浙江慧达说已升级了系统堵上了漏洞,但在漏洞未发现前的这一段时间内,这些开房记录依然有已经被窃取泄露的风险。”上述人士称,这次发布其实透露了一种担心——既然他们可以拿到宾馆的住宿信息,那么就不能排除还有其他人早于他们窃取相关资料的可能,“我们实际上保护的是厂商的用户,但是很多厂商基于公关的考虑,都极力回避(安全漏洞)这些问题,所以我们想借这个平台来更好地做这个事情。”
乌云网法务顾问赵占领律师也表示,此次泄露事件其实仅仅是流程中的一次普通发布。
上述乌云网负责人称,涉事酒店全部或者部分使用了浙江慧达开发的酒店WiFi管理、认证管理系统。而事情就由此而起——简单地说,由于各个酒店使用了这套系统,因此该公司在其服务器上实时存储了这些酒店客户的记录,由于客户信息在数据同步时所使用的认证用户名、密码都是明文传输的(正是这点让泄露出现了可能),很容易就可以被专业人员从其数据服务器上获得酒店上传的客户信息。
安全与侵权隐患
目前,连锁酒店的无线IT系统通常有两种管理模式,一为自行研发;二为使用第三方系统。前者需要不菲的研发资金和人力,相对而言安全把控性高;后者研发投入低,但存在安全风险。
本次泄露风波的关键当事方就是被指存在漏洞的浙江慧达。
浙江慧达方面表示,经查证,无线门户系统存在信息安全加密等级较低问题,有信息泄漏的安全隐患,浙江慧达的技术团队针对现有无线门户认证系统已完成全面升级,感谢乌云网对浙江慧达提升产品安全性的帮助。有关无线门户系统的安全性问题,是浙江慧达的责任,与任何酒店客户无关。浙江慧达同时声明,在无线门户业务领域与汉庭酒店、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店客户没有合作关系。
昨日,如家方面向记者表示,与其合作的无线信息技术服务供应商确实是浙江慧达,酒店对此非常重视,已与浙江慧达方面配合,对漏洞进行了检查和修补。如家同时称,将吸取此次教训,建立长效机制,未来将“确保顾客安全”。
而华住及锦江之星方面均表示,在无线项目上与浙江慧达并无合作。华住方面还表示,保留对乌云网进一步追诉的权利。
浙江慧达市场总监韩先生在接受记者采访时称,对于造成的损失,单纯是技术层面的,没有直接造成客户信息的泄露。目前,其安全等级已经达到国家应急中心的检测标准,并确认修复漏洞。
韩先生再次重申,与汉庭等酒店的合作,并没有在WiFi门户系统认证这一块,而是其他产品。
记者昨日登录浙江慧达网站,点击其合作伙伴一栏,显示“系统正在维护中”而无法访问。
此外,针对乌云网发布的有关浙江慧达无线门户认证的漏洞,国家互联网应急中心(CNCERT)运行管理部的有关人士对浙江慧达实施的修复措施进行了针对性的检查,确认该漏洞已被修复。
“据业内反映,与浙江慧达进行无线合作的酒店不多,但全国数千家酒店,总有部分酒店使用过浙江慧达的电脑租赁,而使用其电脑也存在风险,因此安全隐患需重视。”一位经济型酒店业者指出。
“从法律角度来讲,乌云网被业界认为是通过一些‘黑客’手段寻找漏洞,按此说法,乌云网本身涉嫌侵权,因为其通过非正当手段获取数据寻找漏洞。假如乌云网是一名‘善意的黑客’,其目的仅是为帮助企业修补漏洞,那么乌云网应该私下就找出的漏洞与企业沟通,而不是公之于众。要知道酒店登记入住涉及个人隐私和资料,一旦信息被泄露不仅涉嫌对企业侵权,也涉嫌对个人侵权,假如客人因此状告酒店而酒店再以侵权状告乌云网,那么乌云网就会很麻烦。”上海袁圆律师事务所陈军律师分析。