4500家酒店开房信息“被上网”？

    如家称已修复，汉庭称“躺枪”；技术商很“爷们”：全是我们的错，但没泄密只是漏洞展示

    如家、莫泰168连锁酒店、金一村连锁酒店、速8连锁、7天连锁、格林豪泰等纷纷“中弹”

    酒店Wifi

    使用浙江慧达驿站网络有限公司开发的酒店Wifi管理、认证管理系统

    慧达驿站在其服务器上将信息实时存储，包括客户名、身份证号、开房日期、房间号等

    慧达驿站服务器

    长假刚刚过去，昨天的一个消息让不少“住客”吓了一跳：如家、汉庭等酒店的开房记录遭泄露：入住的客人，身份证号，入住、退房时间等信息都可以在网上查到。

    消息称，国内第三方漏洞监测平台乌云(www.wooyun.org)日前发布报告，指国内一家大型酒店数字客房服务商“慧达驿站”为国内4500家酒店提供的无线门户认证系统，但该系统存在信息泄漏的安全隐患。

    报告一经披露引发了不小的关注。不少网友很担心，自己的个人信息会被泄露。这次信息泄露规模有多大，我们的信息还安全吗？对此，扬子晚报记者进行了采访。 (实习生 于轶婷 扬子晚报记者 李冲 徐晓风)

    发布漏洞方：

    8月份就通知厂商了，现在早改好了

    昨天，扬子晚报记者联系到发布存在泄密漏洞的“乌云”方工作人员。

    他们表示，浙江慧达Wifi服务机构将所有用户信息储存在互联网上，尽管有密码的验证限制，但由于安全意识不足，在进行密码验证过程中并未对传输数据进行加密，导致任何第三方可以轻松截获到服务器传递的明文密码，“有了这个密码，就可下载该公司存储的酒店用户数据了。”

    工作人员告诉扬子晚报记者，乌云发现并确认漏洞是在8月份，随后按照标准流程通知厂商，现在经过两个月的修复周期，已经查不了了，才将细节进行公布。“这个问题是因为数据保管方安全意识薄弱导致的，没有遭遇到黑客袭击。”工作人员对扬子晚报记者说，这次在没有扩大影响之前就将漏洞通知给技术商并修复，所以影响不大。

    存在漏洞方：

    慧达驿站“很爷们”，全是我们的错！

    慧达驿站的用户在全国有4500多家星级和经济连锁酒店，从其客户数量也可看出此次事件的覆盖面之广。

    此事件发生后，在大部分酒店还未来得及回应之时，慧达驿站已率先发表声明，包揽了全部责任：称有关无线门户系统的安全性问题，是慧达驿站的责任，与任何酒店客户无关。

    昨天，扬子晚报记者也联系到了浙江慧达驿站的工作人员，但他们表示所有发言已经以公告形式进行了发布。

    慧达驿站在《释疑酒店住客信息泄露事件》的升级公告中表示，无线门户系统确实存在信息安全加密等级较低问题，有信息泄露的安全隐患，目前已经对现有认证系统完成全面升级，住客信息已被加密保护。“截屏中的住客信息未发生泄密情况，截屏信息是相关机构作为技术验证漏洞的展示。截至10月8日，相关截屏的住客信息未发生实质性的泄密结果。”慧达驿站工作人员表示，有关无线门户系统的安全性问题，是自己的责任，与任何酒店客户无关。

    慧达驿站市场部工作人员对记者说，那些信息是加密的，不属于互联网上的公共资源，普通人是查不到的，并且现在已经对信息加密等级做了升级，各个酒店客户那儿都用的是更新的版本，现在已消除安全隐患。

    酒店怎么说？

    南京如家：我们没泄露信息

    昨天，扬子晚报记者拨打南京多家如家的电话，各家都表示不存在信息泄露。比如如家大厂步行街店只有特定的楼层才有wifi，使用时不需要输入房号或者其他个人信息，只要密码就行。

    另外，如家快捷酒店CEO孙坚在公开场合表示，如家确实是慧达驿站的合作伙伴，知道此事之后，已经第一时间做了处理，包括漏洞修补和软件升级。孙坚表示，目前如家正在积极找寻第三方对系统进行进一步认证，对品牌商来说，客人的信息安全是特别重要的。

    南京汉庭：不用“慧达”很久了

    记者了解到，汉庭酒店在此事披露之后，一直发布声明回应称，汉庭当前与慧达驿站并无官方合作，慧达驿站也不是汉庭快捷酒店的官方认证运营商。虽然翻阅慧达驿站的官网，可以发现里面包括了汉庭酒店，但是汉庭表示，之前曾有过合作，但目前早已终止。

    而慧达驿站也在官方声明中强调，公司的无线门户业务领域与汉庭酒店确实没有合作关系。

    一位黑客对扬子晚报揭秘

    客户信息以前“一元一位” 现在卖不上钱，“黑”了没劲

    就快捷酒店住客信息泄露事件，扬子晚报记者昨天采访了上海一位电脑高手小宋。小宋以前曾经也玩过纯技术“黑客”，目前是一家公司的专职安全技术人员。

    找到漏洞就能窃取

    小宋告诉扬子晚报记者，从理论上来说，酒店也是企业，只要是电脑信息系统，就存在信息泄露的可能。从技术上来说，如果有电脑黑客想窃取酒店数据，只要能找到软件的漏洞，编写木马病毒攻击窃取数据，或者想办法进入酒店电脑内部系统，还是有可能的。

    个人信息不好卖了

    “不过现在黑客不像传说中的那么可怕。事实上大部分黑客都是单纯的电脑技术爱好者，搞违法活动的极少。”小宋说，2008年以前，国内各种黑客网站一度泛滥，不过后来国家监管越来越严，加上杀毒产业越来越兴盛，绝大部分黑客都已经收山不干了。“比如以前有黑客攻击一些国内外的大型购物网站，将信息数据库偷到手，就可以转手倒卖客户信息。以前最高能卖1元/条，现在价格降得厉害，卖不上价钱了。”

    两种手段“赚黑钱”

    小宋说，黑客赚黑钱有几种途径：一个是做一些木马病毒什么的通过漏洞攻击网站盗取数据库，然后倒卖信息。比如前些时间有个被曝光的黑客团队，搞了一个非法售卖汽车车主信息的网站，声称“可查全国车主个人身份信息”，并可详细获知车主的“居住地址、姓名、电话、身份证号码、发动机号码”。在该网站上，有关车主的个人资料明码标价仅售130元一套。“主要被用于制造‘套牌车’。”小宋说。

    还有一种所谓“商务调查”黑网站，前不久曾被瑞星公司曝光过，这类网站打着私家侦探的旗号，宣称向客户提供查询他人住址、电话、身份证号码、户籍、手机短信内容、通话记录、QQ聊天记录、开房记录等一系列“服务”。

    不过小宋说，现在这类黑客手段被打击得厉害，“一旦被抓到是要接受法律制裁的”。

    律师说法：

    如果真泄露信息了 技术商和酒店都担责

    好在这次多家酒店泄密隐患在没有扩大之前就已制止。可是，万一真发生客户信息泄密，该怎么办呢？扬子晚报记者采访了江苏衡鼎律师事务所的周友权律师。

    周律师表示，如若真发生信息泄露情况，技术商肯定要承担过错责任，具体如何赔偿要视被害人要求和实际损失情况而定。另外，虽然慧达驿站方面发表通告称“有关无线门户系统的安全性问题，是慧达驿站的责任，与任何酒店客户无关”，但是被害人仍然可以要求酒店与慧达驿站承担连带责任，而二者怎样分担要看各自的过错程度。

(记者/于轶婷 李冲 徐晓风)