如家汉庭开房记录被指泄露 慧达服务器留记录

央广网北京10月11日消息 据经济之声《天下公司》报道,国内安全漏洞监测平台乌云最新发布报告,如家、汉庭等大批酒店的顾客开房记录被第三方存储,并且因为漏洞而出现泄露。据了解,漏洞早在8月份就被发现并确认,随后按照标准流程通知厂商,并逐步向专家和技术人员公开,如今已将漏洞细节公之于众,也交给了国家互联网应急中心进行处理。

相关报道表示,如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店等,全部或者部分使用浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。

据分析,慧达驿站公司管理机制不完善,他们的系统要求酒店在提交开房记录时进行网页认证,不过不是在酒店服务器上,而要通过慧达驿站自己的服务器,理所当然地就存下了客户的信息。

另外,客户信息的数据同步是通过http协议实现的,需要认证,但是认证用户名、密码竟然是明文传输的,各个途径都可能被轻松嗅探到,用这个认证信息就可以从他们数据服务器上,获得所有酒店上传的客户开房信息。

如家酒店集团CEO孙坚在接受经济之声记者采访时表示,酒店已经与合作厂商第一时间修补了漏洞和升级软件。

孙坚:这个情况是在一个无线网络运营商的过程当中,在整个运输线路上加密的过程可能有些技术上的不足,那这个不足发生以后,其实我们包括和IT技术的运营商一起在第一时间已经将这个漏洞已经弥补掉了。

孙坚说,集团会吸取这次事件的教训,更好地保障顾客信息安全。

孙坚:今天的网络肯定是每一个人,每个消费者都需要的,但是在使用网络过程当中的安全性还确实是对于我们每一个品牌上来说是要不断的去学习,不断的去进步,信息安全也是顾客安全之一,始终作为我们一个服务商非常重要的一件事情,我想也能够吸取这样的教训,能够去对未来这些包括顾客的安全,信息的安全方面的管理上要继续的加强,同时我们也会聘请第三方网络安全监测的机构来在这方面做好更多的工作,作为集团来说我想我们是这样一个态度。

有酒店业内人士表示,一些酒店不会委托第三方来做wifi系统,自己的封闭系统相对安全。对此,孙坚不置可否。

孙坚:这个其实是一个云的概念,其实也不是惩处在哪一家企业,只是数据传输这样一个过程中的问题。因为技术上的问题我们都很难解释,我们也不是这方面专家。作为我们来说,将来不管是自己做也好,或者用第三方服务也好,我们都会更加主动的在安全的管理上把好关。

360安全专家介绍,目前酒店行业的wifi系统一般有两种设置方式:自己做,再就是找第三方,而国内酒店主要还是找第三方来做。

360安全专家:一种是酒店自己的搭一套无线系统,酒店自己有自己的无线路由器,更常见的一种是很多酒店它为了方便,因为有一些第三方公司,它会提供一些Wi-Fi的服务管理服务,包括Wi-Fi接入,用户管理、认证管理,它会有一套专门的系统,类似于一个企业这种办公自动化的OA系统一样,这样可以很多方便很多酒店同时接入进来。

他表示,第三方有意或无意的存储客户信息,实际上有可能越权了,酒店对于信息传输又缺少严格规定,而对用户来说只能选择用或不用。

360安全专家:第三方的系统有一些隐私上的管理存在一些缺陷的话,很容易信息会被泄漏,因为用户自己不知道,完全是在第三方的管理系统里面,第三方它实际上可以做到尽量的少从酒店获取信息,它只需要做一些基本管理工作就行,像入住的日期、名字等信息没有必要同步到第三方的系统里,这实际上对它们来说本身没有太大的价值。酒店应该对隐私负责,然后第三方的接入商它获取这个隐私本身又超出了它系统它应该做的事,就越权了等于是。酒店跟第三方系统沟通的也不够,酒店本身也不知道它的信息全部会同步到第三方的系统里,它应该对顾客的隐私数据,首先它有一个敏感性,顾客隐私是应该酒店全权负责的,当涉及到数据传输的时候它应该明确的制定一些安全标准,比如那些数据我允许传输,哪些数据我要保存到本地,哪些需要是要加密的,酒店自己应该有一套管理机制来保护客户的信息。

另外,慧达驿站在无线门户业务领域与汉庭酒店(华住集团)、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店客户没有合作关系。就是刚刚我们在之前报道的时候所提到那几家酒店基本上都被列位了一个撇清关系的成份当中。特别想问一下我们今天的嘉宾主持向鹰,为什么会有这样的一个回复呢?难道一出事就是说我所有责任都担下来它为什么会这么讲意气?

向鹰:谁担责任的问题实际上我觉得是蛮有意思的话题,这里面其实你从消费者的角度来讲,如果你今天是入住这些酒店的客户,你会去怪谁呢?

可是反过来讲,就是因为你对于客户信息和隐私信息在你这显得尤为重要,你现在在如此重要的环节出了问题难道不应该说,虽然这个系统不是你做的,但是难道不应该在出现问题的时候站出来,大大方方的承认我错了吗?

向鹰:其实这里面作为酒店经营者必须从案例里面得到一个重要的启示,因为你在跟你的消费者承诺的时候,你承诺的酒店服务质量里面包括什么?包括信息安全,因为这个信息安全要我看,因为我在信息行业工作了差不多有20年的历史,我自己来看其实在这里面大家看到的是信息被泄漏了,那这个信息,存储的地方对不对?传输过程是不是安全?因为大家都知道其实对于酒店而言,如果它仅仅把它变成一个信息泄漏给它带来损失,可能还没有意识到更重要的问题,所有客户的信息如果酒店来看其实是很重要的一个为市场开发的一个重要的依据。

因为这就是大数据市场。

向鹰:没错,实际上我们的银行在这方面做的相对比来讲要超前一点,比较敏感,所以我觉得这种数据的敏感性将会从一些像银行领域,慢慢的延伸到跟消费者特别贴近的酒店领域,甚至以后像网购网商方面来讲肯定会强调的更多一点。