作者: 記者李鋅銅╱綜合報導 | 旺報 – 2013年10月14日 上午5:30
旺報【記者李鋅銅╱綜合報導】
大陸安全漏洞監測平台烏雲(WooYun.org)最近發布報告,指包括如家、漢庭等20家酒店的開房紀錄因出現漏洞而洩漏,包括客戶名、身分證號、開房日期、房間號等敏感、隱私資料都可能外洩。捅出漏子的浙江慧達驛站網路公司承認系統確有漏洞,已全面升級並願負所有責任;被漏個資的酒店只能自認倒楣,忙著亡羊補牢。
財經網等網站從9日起陸續報導。指烏雲在「漏洞概要」中指出,早在8月21日就發現此事,烏雲也在網站針對此事提出簡要描述,指如家、咸陽國貿大酒店、杭州維景國際大酒店、驛家365快捷酒店、東莞虎門東方索菲特酒店等,全部或部分使用浙江慧達驛站網路公司開發的酒店Wi-Fi管理、認證管理系統,但公司儲存酒店客戶的紀錄,包括客戶名、身分證號、開房日期、房間號等敏感、隱私資料,可能因為某些原因被洩漏。
藉Wi-Fi可竊取資料
漏洞根源在於慧達驛站公司的系統,要求酒店在提交開放紀錄時進行網頁認證,但並非在酒店伺服器上,而是要通過慧達驛站自己的伺服器,於是就存下了客戶的資訊。
新華網報導,烏雲網站孟姓負責人已證實這些酒店客戶資訊洩漏的情況屬實。因為酒店客戶登錄酒店Wi-Fi網路,需要提供實名資訊,這些資訊就儲存在Wi-Fi管理系統的伺服器上;但因認證用戶名和密碼是用明文傳輸,各途徑都可能被查探,然後利用這個認證資訊,就可從資料伺服器上獲得所有酒店上傳的客戶開房資訊。
台灣不致有類似事件
慧達驛站公司市場部總監韓冰承認,公司的資訊安全等級的確有安全顧慮,但並未發現資訊洩露情況,目前認證系統已完成全面升級,並願意承擔全部責任。
如家酒店CEO孫堅表示,知道此事後已在第一時間修補漏洞和軟體升級,維護無線系統安全,畢竟客人的資訊安全是特別重要的。咸陽國貿大酒店則表示,系統早已更換,目前並沒有洩露客戶資訊的情況。其他相關業者仍未對此事回應。
洩漏事件讓更多人擔心「雲端運算」用戶資訊是否有安全疑慮。烏雲工作人員表示,酒店客戶資訊洩密只是「一般級別的預警事件」,隨著「雲運算」的來臨,未來類似個人敏感資訊被洩露的可能性將十分普遍,因為誰也無法保證是否會有安全漏洞。
全國旅館公會理事長徐銀樹表示,台灣旅館的電腦系統都在旅館內,不會透過第三者網路公司存取,所以不會發生類似問題。
……..文章來源:按這裡