近日,国内安全漏洞监测平台乌云发布报告,称多家酒店的客户信息被其Wi-Fi管理、认证管理系统供应商浙江慧达驿站网络有限公司实时存储,由于系统存在漏洞,客户开房记录等信息可能被黑客拿到。
对此,如家向《法制晚报》记者承认了漏洞存在,并表示已经修复。汉庭则回应称没有接到客户信息泄露的反馈。而慧达驿站官网也于昨日挂出通告,表示已完成全面升级。此外,慧达驿站否认与汉庭存在无线门户业务的合作。
乌云的报告显示,此次事件涉及如家、汉庭、7天、速8、格林豪泰等一批知名连锁酒店,以及咸阳国贸、杭州维景国际、东莞虎门东方索菲特等星级酒店,这些酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统。
乌云在报告中解释了泄密的原因:用户连接到酒店的开放Wi-Fi,上网时会被要求通过网页认证。由于这个认证是在浙江慧达驿站的服务器上完成的,所以慧达驿站的服务器也保存了一份酒店客户信息。据介绍,慧达驿站的服务器上实时存储了上述酒店登记的客户名、身份证号码、开房日期、房间号等大量敏感隐私信息。
报告称,客户信息的数据是同步通过http协议实现的,但认证用户名跟密码是明文传输的,通过各个途径都可能被嗅探到。只要得到认证信息,就可以从数据服务器上获得酒店上传的所有客户开房信息。
昨天下午,《法制晚报》记者联系到如家酒店上海总部,相关负责人表示,公司已确认报告中所指的慧达驿站网络有限公司是其无线网络服务供应商。而在看到乌云发布的报告之后,酒店方面立即与供应商沟通,目前已经修复了这个漏洞,并推出安全程序。
之后记者又联系到汉庭酒店所属的华住酒店集团,一名客服表示,已经看过相关新闻,但目前并没有接到客户关于自己信息被泄露的反馈,“所谓泄露隐私,我们从来没有听说过”。
当记者询问汉庭酒店的无线网管理、认证管理系统是否由慧达驿站提供时,该客服表示:“系统一直由我们总部的人员在维护,是自己的还是别人的(系统),我们没有接到这个通知”上午,记者登录慧达驿站官方网站,发现其已在官方网站首页挂出通告。慧达驿站在通告中承认,该公司的无线门户系统存在信息安全加密等级较低问题,确有信息泄露的安全隐患。目前,该公司技术团队已针对现有无线门户认证系统完成全面升级。
通告强调,有关无线门户系统的安全性问题,是慧达驿站的责任,与任何酒店客户无关。慧达驿站同时表示,在无线门户业务领域与汉庭酒店(华住集团)没有合作关系。
今天上午,记者分别走访了如家、汉庭、7天等酒店,并试着登录其无线网络。
在汉庭快捷酒店梨园店的大厅里,记者以手机搜索到无线网络并尝试登录,发现其只要求输入密码,并不需要输入房间号等信息。记者以等人无聊为由,很轻松地就从前台工作人员处获得了无线密码。
随后记者又来到如家酒店九棵树店,在大厅里,记者再度使用手机搜索到无线网络,尝试登录时提示需要输入密码。记者向前台工作人员询问密码时,其表示如家并不为非住店客人提供无线上网服务。