大批酒店開房記錄因存在協力廠商存儲和系統漏洞而被洩露

摘要： 一份被洩露的酒店開房記錄正在形成一團烏雲，讓牽涉其中的如家、華住和錦江之星等知名連鎖酒店措手不及，上週末，它們都在忙著擬寫聲明。 日前，國內安全性漏洞監測平臺烏雲網發

一份被洩露的酒店開房記錄正在形成一團烏雲，讓牽涉其中的如家、華住和錦江之星等知名連鎖酒店措手不及，上週末，它們都在忙著擬寫聲明。

日前，國內安全性漏洞監測平臺烏雲網發佈報告稱，如家、漢庭等大批酒店的開房記錄因存在協力廠商存儲和系統漏洞而被洩露。 昨日，如家、華住、港中旅、錦江之星等紛紛發表聲明，稱不涉及洩露資料。

法律界人士則表示，烏雲網的手法游走在「灰色地帶」，涉嫌侵權，目前，酒店客戶資料安全管理的確是個問題，但不應通過公之于眾的方式進行。

公佈開房記錄是按流程操作

烏雲網報告稱，如家、咸陽國貿、杭州維景國際和驛家365快捷等全部或者部分使用了浙江慧達驛站網路有限公司（下稱「浙江慧達」）開發的酒店WiFi管理、認證管理系統。 而浙江慧達在伺服器上即時存儲了這些酒店客戶的記錄，包括客戶名、身份證號、開房日期和房間號等隱私資訊。 因浙江慧達系統存在漏洞，使這些資訊存在被洩露的風險。

2010年5月上線的烏雲網，是一家網路漏洞報告平臺，使用者在這裡自由上傳漏洞資訊，等待廠商核實並修復；因先後被曝出CSDN、天涯、當當、京東商城等網站存在安全性漏洞，于2011年聲名鵲起。

業內人士「不喝可樂男」告訴《第一財經日報》，它在圈內很知名，烏雲網就是一個「駭客」聚集之地。 不過，他們都是「白帽子」。 「白帽子」們的戰鬥方式是：挖掘網站中的安全性漏洞，在「黑帽子」利用它們之前，提交到平臺上，或者向廠商報告，希望廠商及時進行修復。

在「駭客」的世界中，可被分為三種類型，第一類：白帽子，也即正面的「駭客」，他可以識別電腦系統或網路系統中的安全性漏洞，但並不會惡意去利用，而是公佈其漏洞，讓系統在被其他人利用之前來修補漏洞；第二類：灰帽子， 他們擅長攻擊技術，但不輕易造成破壞；他們精通攻擊與防禦，同時頭腦裡具有資訊安全體系的宏觀意識；第三類：黑帽子，他們研究攻擊技術，唯一的目的就是惹是生非。

「我們並不是一個組織，只是一個平臺聚集了一些愛好安全技術的人。 很多白帽子都來這裡分享漏洞，也只有得到核實並已經採取防範措施解決問題後才會被公開。 」昨日，烏雲網相關負責人向記者證實，該漏洞早在8月21日就已被發現，在通知廠商後，按照流程于10月5日進行了公開，而消息在10月10日散佈到了大眾網路。

「雖然浙江慧達說已升級了系統堵上了漏洞，但在漏洞未發現前的這一段時間內，這些開房記錄依然有已經被竊取洩露的風險。 」上述人士稱，這次發佈其實透露了一種擔心――既然他們可以拿到賓館的住宿資訊，那麼就不能排除還有其他人早于他們竊取相關資料的可能，「我們實際上保護的是廠商的使用者，但是很多廠商基於公關的考慮，都極力回避（安全性漏洞）這些問題， 所以我們想借這個平臺來更好地做這個事情。 」

烏雲網法務顧問趙佔領律師也表示，此次洩露事件其實僅僅是流程中的一次普通發佈。

上述烏雲網負責人稱，涉事酒店全部或者部分使用了浙江慧達開發的酒店WiFi管理、認證管理系統。 而事情就由此而起――簡單地說，由於各個酒店使用了這套系統，因此該公司在其伺服器上即時存儲了這些酒店客戶的記錄，由於客戶資訊在資料同步時所使用的認證使用者名、密碼都是明文傳輸的（正是這點讓洩露出現了可能）， 很容易就可以被專業人員從其資料伺服器上獲得酒店上傳的客戶資訊。

安全與侵權隱患

目前，連鎖酒店的無線IT系統通常有兩種管理模式，一為自行研發；二為使用協力廠商系統。 前者需要不菲的研發資金和人力，相對而言安全把控性高；後者研發投入低，但存在安全風險。

本次洩露風波的關鍵當事方就是被指存在漏洞的浙江慧達。

浙江慧達方面表示，經查證，無線門戶系統存在資訊安全加密等級較低問題，有資訊洩漏的安全隱患，浙江慧達的技術團隊針對現有無線門戶認證系統已完成全面升級，感謝烏雲網對浙江慧達提升產品安全性的説明。 有關無線門戶系統的安全性問題，是浙江慧達的責任，與任何酒店客戶無關。 浙江慧達同時聲明，在無線門戶業務領域與漢庭酒店、咸陽國貿大酒店、杭州維景國際大酒店、驛家365快捷酒店、東莞虎門東方索菲特酒店客戶沒有合作關係。

昨日，如家方面向記者表示，與其合作的無線資訊技術服務供應商確實是浙江慧達，酒店對此非常重視，已與浙江慧達方面配合，對漏洞進行了檢查和修補。 如家同時稱，將吸取此次教訓，建立長效機制，未來將「確保顧客安全」。

而華住及錦江之星方面均表示，在無線專案上與浙江慧達並無合作。 華住方面還表示，保留對烏雲網進一步追訴的權利。

浙江慧達市場總監韓先生在接受記者採訪時稱，對於造成的損失，單純是技術層面的，沒有直接造成客戶資訊的洩露。 目前，其安全等級已經達到國家應急中心的檢測標準，並確認修復漏洞。

韓先生再次重申，與漢庭等酒店的合作，並沒有在WiFi門戶系統認證這一塊，而是其他產品。

記者昨日登錄浙江慧達網站，點擊其合作夥伴一欄，顯示「系統正在維護中」而無法訪問。

此外，針對烏雲網發佈的有關浙江慧達無線門戶認證的漏洞，國家互聯網應急中心（CNCERT）運行管理部的有關人士對浙江慧達實施的修復措施進行了針對性的檢查，確認該漏洞已被修復。

「據業內反映，與浙江慧達進行無線合作的酒店不多，但全國數千家酒店，總有部分酒店使用過浙江慧達的電腦租賃，而使用其電腦也存在風險，因此安全隱患需重視。 」一位經濟型酒店業者指出。

「從法律角度來講，烏雲網被業界認為是通過一些‘駭客’手段尋找漏洞，按此說法，烏雲網本身涉嫌侵權，因為其通過非正當手段獲取資料尋找漏洞。 假如烏雲網是一名‘善意的駭客’，其目的僅是為説明企業修補漏洞，那麼烏雲網應該私下就找出的漏洞與企業溝通，而不是公之于眾。 要知道酒店登記入住涉及個人隱私和資料，一旦資訊被洩露不僅涉嫌對企業侵權，也涉嫌對個人侵權，假如客人因此狀告酒店而酒店再以侵權狀告烏雲網，那麼烏雲網就會很麻煩。 」上海袁圓律師事務所陳軍律師分析。