2013-10-11 11:28
來源:光明網(wǎng)
圖為被泄露客戶信息���。
國內(nèi)安全漏洞監(jiān)測平臺烏云(WooYun.org)近日發(fā)布報告,稱如家、漢庭等大批酒店的開房記錄被第三方存儲���,并且因為漏洞而泄露���。
該漏洞早在8月份就已經(jīng)被發(fā)現(xiàn)并確認�����,隨后按照標準流程通知廠商���,并逐步向?qū)<液图夹g(shù)人員公開�����,而如今已將漏洞細節(jié)公之于眾���,也交給了CNCERT國家互聯(lián)網(wǎng)應急中心進行處理�。
漏洞發(fā)現(xiàn)者稱�����,如家�����、漢庭���、咸陽國貿(mào)大酒店、杭州維景國際大酒店���、驛家365快捷酒店、東莞虎門東方索菲特酒店全部或者部分使用了浙江慧達驛站網(wǎng)絡有限公司開發(fā)的酒店Wi-Fi管理�、認證管理系統(tǒng)���,而慧達驛站在其服務器上實時存儲了這些酒店客戶的記錄�����,包括客戶名(兩個人的話都會顯示)���、身份證號�、開房日期���、房間號等大量敏感���、隱私信息。
結(jié)果因為某種原因�����,這些信息是可以被黑客拿到的�����。
漏洞的根源在于慧達驛站公司管理機制的不完善,因為他們的系統(tǒng)要求酒店在提交開放記錄的時候進行網(wǎng)頁認證�����,但不是在酒店服務器上���,而要通過慧達驛站自己的服務器�,理所當然地就存下了客戶的信息。
另外,客戶信息的數(shù)據(jù)同步是通過http協(xié)議實現(xiàn)的,需要認證�����,但是認證用戶名�、密碼竟然是明文傳輸?shù)?��,各個途徑都可能被輕松嗅探到�,用這個認證信息就可以從他們數(shù)據(jù)服務器上獲得所有酒店上傳的客戶開房信息�����。
大部分酒店目前尚未公開回應���,不過據(jù)稱漢庭方面正在努力公關(guān)���、推卸責任���。
責編:王慧
