2000万开房数据曝光续:北京人信息22万条外泄
外泄的个人住店信息,包括姓名、性别、出生日期、身份证号、住址、手机号码、工作单位等信息,有人制成名为“2000W开房数据”的文件传到网络,网民以每天近4万次的频率下载。
《法制晚报》记者统计发现,2000万条酒店个人住店信息中,北京人的信息有220754条。
泄露事件系因众多酒店使用了浙江慧达驿站公司开发的酒店Wi-Fi管理、认证系统,而该公司加密等级低,导致信息泄露事件发生。
延伸采访
涉事网络公司 为4500家酒店服务
“2000W开房数据”文件中,没有注明入住的酒店名称。但浙江慧达驿站网络有限公司官方网站显示,该公司业务覆盖除西藏的31个省市自治区的110多个城市,为4500多家星级和经济连锁酒店提供各种服务。
如今,慧达驿站公司官网的“合作伙伴”一栏已经无法点击进入。但“公司介绍”栏目下的文字显示,该公司是如家数码房唯一指定供应商。
率先披露此事的国内安全漏洞监测平台乌云网,曾公布一张截图,上面是与浙江慧达驿站公司合作的部分经济型连锁酒店名单,包括如家、汉庭、格林豪泰、布丁、锦江之星等20家。
上午,锦江之星、布丁和格林豪泰酒店均向记者表示,其Wi-Fi认证、管理系统不是与浙江慧达驿站网络有限公司合作建立的。
格林豪泰方面还表示,其Wi-Fi认证、管理系统是自己研发的,其以前和慧达驿站公司有过网络以外方面的合作,乌云网虽然披露了合作酒店名单截图,但只能说明慧达驿站公司把与其进行过各类合作的酒店都列了上去。
记者上午也联系了如家酒店,但客服人员提供的公司总机号码,记者多次拨打一直没人接听。
北京人住店信息 有220754条
如今,“2000W开房数据”仍能正常地从网上下载。记者下载数据文件后进行了统计分析。
根据本报统计,酒店入住信息中,住址在北京的有220754条信息。
记者进一步统计发现,在这些涉及北京人的酒店入住信息中,涉及男性入住者的占六成多,涉及女性入住者的占近四成。
在30岁至60岁年龄段,北京男性是女性的1.9倍。但在18岁至30岁这一年龄段,北京男性仅为女性的1.2倍。
网曝开房信息 颇受网友关注
据知情人介绍,“2000W开房数据”在网上出现后,以每天近4万次的频率被人们疯狂下载。好事者又把它重新编辑成多个版本,如“18-30岁mm开房数据”等。
“18-30岁mm开房数据”中,包含住址在北京的18岁至30岁女性酒店入住信息29063条。
网上还出现多个替人查开房信息的网站,其中一个网址为“www. zhaokaifang.com”的网页“颇受欢迎”。记者选取“张燕”、“李刚”等常见姓名查询,均能查到千人左右。有媒体报道称,这些查询网站为防止被关闭,纷纷将服务器设到国外,让警方束手无策。
个人信息全暴露 易遭电话诈骗
上海市律师协会信息网络与高新技术专业委员会主任商建刚向《法制晚报》记者表示,“2000W开房数据”随时会给信息被泄露者带来各种风险。
这些数据,一般则被用于各种烦人的电话营销,严重则被不法分子用于电话诈骗。在电话诈骗案中,不法分子掌握事主的个人信息越全面,事主越容易上当。
同时,不排除不怀好意者会在论坛、微博等处公布他人信息,侵犯他人隐私或散布谣言侵害他人名誉。
数据服务商 承认有信息安全漏洞
浙江慧达驿站网络有限公司官方网站显示,该公司的使命是“改善酒店网络生态”,愿景是“打造中国商旅人群最适用的网络平台,成为最专业的IT服务提供商”,致力于“降低IT复杂度和IT成本”。
事件发生后,浙江慧达驿站公司发布通告,承认无线系统存在信息安全加密等级较低问题,有信息泄漏的安全隐患,事件发生后技术团队已经将系统全面升级。
该公司对被泄露个人信息的酒店顾客表达了歉意,并称系统安全性问题与所有酒店客户无关。
记者从由国家计算机网络应急技术处理协调中心联合互联网企业等建立的“国家信息安全漏洞共享平台”上,看到了“关于浙江慧达驿站网络有限公司无线认证数据通道服务器漏洞风险的处置情况公告”。
这则公告称,浙江慧达驿站公司确实存在无线认证数据通道服务器漏洞风险,但已经进行了修复处置。“国家信息安全漏洞共享平台”将继续跟踪此事,做好应急处置工作。
事件探因 酒店Wi-Fi系统不完善 导致事发
据乌云网的工作人员介绍,涉事酒店使用了浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证系统,而问题由此产生。
一位长期从事信息安全工作的专业人士告诉记者,目前,几乎所有酒店都有Wi-Fi覆盖。为了保证实名上网,在酒店上Wi-Fi需要身份验证。这些信息都要汇总给提供Wi-Fi服务的网络公司。
漏洞的根源在于慧达驿站公司管理机制不完善,其系统要求酒店在提交入住记录时进行网页认证,但不是在酒店服务器上,而是要通过浙江慧达驿站公司自己的服务器,于是后者就存下了客户的信息。
浙江慧达驿站公司在服务器上实时存储了酒店客户的信息,并允许相关对象或需求方下载、读取。尽管设有密码验证,但客户信息在数据同步传输时所使用的认证用户名、密码都是明文传输,即在密码验证过程中未对传输数据加密,而这很容易导致黑客截获明文密码,然后凭借这个密码下载酒店用户数据。
无线网架设投入大 故选第三方服务
北京某网络安全公司经理白先生表示,酒店内的Wi-Fi覆盖是随着酒店业发展而兴起的一项常规服务。
无线网的架设需要基站,但投入成本过大,还需要专人维护。在这种情况下,很多酒店选择和网络服务商合作,由网络服务商来提供无线网络服务及服务器。
白经理认为,直接让第三方公司来管理酒店客户信息,本身就增加了泄密的可能性。从信息安全角度出发,酒店如果选择第三方服务的方式,就应提高合作准入门槛。
涉案酒店 被指缺数据保护措施
在白经理看来,2000万开房信息泄漏事件说明我国酒店行业的数据管理还不太成熟。
从事信息安全工作的专业人士告诉记者,如今很多酒店都在忙着跑马圈地,但忽略了入住客户个人信息的管理。
他给企业做信息安全培训时曾明显感到,企业负责人往往只关注企业自身的财务信息安全,而对维护其他方面的信息安全十分不屑。
该人士表示,众多酒店的安全隐患排除工作做得不到位,在个人信息数据保护上缺乏管理措施,是酿成信息安全事件的关键。
使用了浙江慧达驿站公司Wi-Fi管理、认证系统的酒店,客户在接入Wi-Fi时,需要登录浙江慧达驿站公司的服务器进行网页认证。
该人士称,由于系统设计缺陷,导致客户信息很容易被窃取。
该人士表示,如果涉事酒店能对上传的客户信息有严格的管理权限措施,就能避免事件发生。
“比如,在银行业,一段18个字符的权限操作密码会由3个人分段管理,每个人只知道自己掌控的那6个字符。需要操作系统时,这3个人先分别输入自己掌握的密码部分,验证成功后再由不掌握密码字符的其他人进行操作。”他说,虽然这样做很繁琐,但足可以保证信息安全。
业内说法 泄露事件 或影响酒店业信誉度
北京某四星级酒店客服部主管孙田(化名)向《法制晚报》记者表示,即使酒店客人不使用Wi-Fi,也必须登记详细的客户信息。
《旅馆业治安管理办法》第六条规定,旅馆接待旅客住宿必须登记。以前,登记方式是前台人员手写登记,如今都是通过电脑录入方式登记,酒店的服务器就会把这些信息存储下来。登记后,客人信息会迅速传递给属地派出所,方便公安机关工作。
作为在酒店行业工作多年的“老人儿”,他对此事件深表担忧。他认为,2000万入住酒店客户信息泄露事件,会影响到整个酒店业的信誉度。
孙田认为,酒店要从思想上重视住店客人的个人信息保护,酒店应承担起个人信息管理工作,投入财力,完善管理系统。