中評社北京10月12日電/近日,國內安全漏洞監測平台烏雲(以下簡稱“烏雲平台”)發布報告,稱多家酒店的開房記錄被無線上網認證管理系統供應商——浙江慧達驛站網絡有限公司存儲,並因系統有漏洞而存在洩露隱患。
《新京報》報道,昨日中午,慧達驛站市場部總監確認曾經存在漏洞,但並未造成開房記錄等住客個人信息洩露,目前已修補漏洞。
報告稱慧達8月末確認漏洞
該漏洞報告是烏雲平台作者“YEP”在今年8月21日提交的,該漏洞早在8月26日便已得到慧達驛站確認,隨後按照流程逐步公開,在10月5日公之於眾。
該漏洞報告稱,發現如家、咸陽國貿大酒店、杭州維景國際大酒店等酒店,全部或部分使用了慧達驛站的酒店Wifi管理、認證管理系統。
“用戶WiFi上網時會被要求通過網頁認證”,作者分析稱,認證是在浙江慧達驛站的服務器上完成的,所以服務器保存了一份酒店客戶信息。
作者解釋了洩密的原因:客戶信息的數據同步是通過http協議實現的,因此需要認證。但是慧達驛站的認證用戶名跟密碼是明文傳輸的,各個途徑都可能被嗅探到。因此用這些認證信息,就可以從數據服務器上獲得酒店上傳的開房信息。
報告以如家酒店某店為例進行驗證,並成功下載信息,“包括客戶名(兩個人的話,兩個都會顯示)、身份證號,開房日期,房間號等敏感、隱私信息”。
“他們這麼做,我覺得動機有問題”,作者質疑。
|
