多家快捷酒店再曝系統(tǒng)漏洞 開房信息一度可在線查詢

????從前日深夜開始，一個可以檢索酒店住客信息的查詢網(wǎng)站出現(xiàn)了，讓幾天前的酒店開房記錄泄露事件再起波瀾。有網(wǎng)友猜測，網(wǎng)站數(shù)據(jù)信息很可能與此事件有關(guān)，不過這尚未得到涉事方的證實。南都記者查證發(fā)現(xiàn)，查詢網(wǎng)站上流出的數(shù)據(jù)屬實，住客開房登記時間的跨度從2010-2013年。

????酒店開房記錄泄露事件，指的是安全漏洞監(jiān)測平臺烏云10月5日發(fā)布報告稱，一批快捷酒店的開房記錄因為存在第三方存儲和系統(tǒng)漏洞而被泄露。對此，被指應(yīng)負(fù)責(zé)的酒店數(shù)字客房服務(wù)商曾第一時間否認(rèn)。

????網(wǎng)站現(xiàn)已無法正常訪問

????前晚引發(fā)網(wǎng)友關(guān)注的網(wǎng)站，設(shè)計極其簡單。打開后，主頁只有最上方的“查詢”兩字，以及一個“姓名或身份證”輸入框和“查詢”按鈕。輸入姓名后，很快就能得到數(shù)據(jù)庫中所有同名者的個人資料，包括姓名、身份證號、性別、出生日期、地址、國家、省市代碼、民族、電子郵箱、手機號碼和(住宿)登記日期等信息。如果輸入的是身份證號，則能定向查到該人士在酒店的開房信息。

????這些信息顯示的入住登記時間，分散在2010-2013年。昨日凌晨1時許，南都記者用多位同事的姓名進(jìn)行驗證查詢，證實其中多位同名查詢出的結(jié)果中，包括同事的準(zhǔn)確身份和入住時間信息。其中一位同事回憶，他被曝光的2012年8月的開房信息屬實，當(dāng)時他入住了鄭州一連鎖酒店。

????據(jù)新 浪微博記錄，較早發(fā)現(xiàn)該住客信息查詢網(wǎng)站的是一位名叫“毅咝不掛”的網(wǎng)友。前日22時26分，其發(fā)微博說，“那個開房記錄，有人做了在線查詢”，并提供了上述鏈接地址。該網(wǎng)友認(rèn)證信息是吉林某地產(chǎn)公司的執(zhí)行董事。“毅咝不掛”昨晚回復(fù)南都記者稱，其是在網(wǎng)上看到該網(wǎng)站的，但未透露詳情。

????網(wǎng)友留言顯示，已有網(wǎng)友通過網(wǎng)站查詢了自己或身邊人的開房信息，并表示身份證和手機對得上。網(wǎng)友“咱說”就表示，“剛看到有人給出鏈接，說是輸入人名就可查某快捷酒店的開房記錄。試了下，居然有我，根據(jù)登記時間回憶了一下，是去年去北京開會住的@錦江之星連鎖酒店，又查了同去的幾個實驗室成員，都對上了。還好因為不是會員沒有暴露手機號之類的信息，但身份證號是保不住了，真可怕！怒！”

????域名信息查詢結(jié)果顯示，這個以U S為后綴的查詢網(wǎng)站，注冊地是美國新澤西州，注冊日期是2013年7月28日。在被微博網(wǎng)友圍觀幾小時后，昨天凌晨1時許，國內(nèi)用戶已無法訪問該網(wǎng)站。

????酒店Wi-Fi管理系統(tǒng)被曝有風(fēng)險

????有網(wǎng)友猜測，該查詢網(wǎng)站的數(shù)據(jù)就來自前不久被曝出的“酒店開房記錄”。10月5日，國內(nèi)安全漏洞監(jiān)測平臺烏云(w w w .w ooyun.org)發(fā)布報告稱，如家、漢庭等大批快捷酒店的開房記錄，因存在第三方存儲和系統(tǒng)漏洞而被泄露，并在接下來的一周引發(fā)關(guān)注。

????據(jù)烏云的“漏洞詳情”描述，如家、咸陽國貿(mào)、杭州維景國際等全部或者部分使用了慧達(dá)驛站開發(fā)的酒店W i-Fi管理、認(rèn)證管理系統(tǒng)。浙江慧達(dá)在服務(wù)器上實時存儲了這些酒店客戶的記錄，包括客戶名、身份證號、開房日期和房間號等隱私信息，因浙江慧達(dá)系統(tǒng)存在漏洞，使這些信息存在被泄露的風(fēng)險。按烏云的說法，早在8月21日，其已將漏洞細(xì)節(jié)通知廠商，并于8月26日得到廠商確認(rèn)。

????據(jù)慧達(dá)驛站官網(wǎng)介紹，浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司創(chuàng)立于2005年12月，“時至今日，已經(jīng)成長為中國最大的酒店數(shù)字客房服務(wù)商”，“公司業(yè)務(wù)已覆蓋全國4500多家星級和經(jīng)濟連鎖酒店”。

????10月10日，慧達(dá)驛站在官網(wǎng)發(fā)布通告，承認(rèn)其無線門戶系統(tǒng)此前存在隱患。通告稱，“經(jīng)查證，無線門戶系統(tǒng)存在信息安全加密等級較低問題，有信息泄露的安全隱患”，并主動攬責(zé)，“有關(guān)無線門戶系統(tǒng)的安全性問題，是慧達(dá)驛站的責(zé)任，與任何酒店客戶無關(guān)”。

????慧達(dá)驛站同時否認(rèn)有住客信息泄露。該公司市場總監(jiān)韓冰當(dāng)時表示，從后臺和操作日志看，住客信息未發(fā)生泄露，此前媒體報道中的截屏信息“是相關(guān)機構(gòu)作為技術(shù)驗證漏洞的展示”。

????相關(guān)數(shù)據(jù)文件網(wǎng)上仍流傳

????10月12日，慧達(dá)驛站曾在官網(wǎng)發(fā)公告，稱經(jīng)國家互聯(lián)網(wǎng)應(yīng)急中心運行管理部的針對性檢查，確認(rèn)該漏洞已修復(fù)，存在的隱患已被解除。不過，住客信息查詢網(wǎng)站的出現(xiàn)，暗示情況并非慧達(dá)驛站想象的那樣。

????事實上，據(jù)南都記者查證，就在這個查詢網(wǎng)站出現(xiàn)前，所謂“酒店開房記錄”的壓縮文件包就已在網(wǎng)上流傳。截至昨日，在微博中以“開房記錄”作關(guān)鍵詞檢索，仍能找到部分鏈接地址。據(jù)稱，這個1 .7G的單個大數(shù)據(jù)文件，內(nèi)含“2000萬條開房記錄”，需要首先進(jìn)行數(shù)據(jù)庫還原操作。

????此次風(fēng)波又再次攪動公眾對個人信息的關(guān)注。網(wǎng)友“山中大衛(wèi)”感慨，這是一個“裸奔時代”。此前，有江蘇律師在接受《揚子晚報》采訪時分析，若真發(fā)生信息泄露情況，技術(shù)商肯定要承擔(dān)過錯責(zé)任，酒店方亦可被要求承擔(dān)連帶責(zé)任。

????慧達(dá)驛站尚未對上述查詢網(wǎng)站的出現(xiàn)作進(jìn)一步回應(yīng)。該公司市場總監(jiān)韓冰此前曾稱，“如果真的出現(xiàn)用戶信息泄露，我們愿意全權(quán)負(fù)責(zé)，承擔(dān)起本次事件的一切后果?！蹦隙加浾邚垨|鋒

????●10月5日，烏云發(fā)布報告稱，大批快捷酒店的開房記錄存在泄露風(fēng)險。

????●10月10日，提供酒店Wi-F i管理、認(rèn)證管理系統(tǒng)的慧達(dá)驛站承認(rèn)，其無線門戶系統(tǒng)此前存在隱患。

????●10月12日，慧達(dá)驛站在官網(wǎng)公告，漏洞已修復(fù)，隱患解除。

????●10月15日晚，一個可檢索酒店住客信息的查詢網(wǎng)站出現(xiàn)，可在線查詢部分住客的開房信息。