酒店开房记录查询很随便?管理系统被曝有风险

2020-03-31 14:29:41

来源:南方都市报

从前日深夜开始,一个可以检索酒店住客信息的查询网站出现了,让几天前的酒店开房记录泄露事件再起波澜。有网友猜测,网站数据信息很可能与此事件有关,不过这尚未得到涉事方的证实。南都记者查证发现,查询网站上流出的数据属实,住客开房登记时间的跨度从2010-2013年。

酒店开房记录泄露事件,指的是安全漏洞监测平台乌云10月5日发布报告称,一批快捷酒店的开房记录因为存在第三方存储和系统漏洞而被泄露。对此,被指应负责的酒店数字客房服务商曾第一时间否认。

网站现已无法正常访问

前晚引发网友关注的网站,设计极其简单。打开后,主页只有最上方的“查询”两字,以及一个“姓名或身份证”输入框和“查询”按钮。输入姓名后,很快就能得到数据库中所有同名者的个人资料,包括姓名、身份证号、性别、出生日期、地址、国家、省市代码、民族、电子邮箱、手机号码和(住宿)登记日期等信息。如果输入的是身份证号,则能定向查到该人士在酒店的开房信息。

这些信息显示的入住登记时间,分散在2010-2013年。昨日凌晨1时许,南都记者用多位同事的姓名进行验证查询,证实其中多位同名查询出的结果中,包括同事的准确身份和入住时间信息。其中一位同事回忆,他被曝光的2012年8月的开房信息属实,当时他入住了郑州一连锁酒店。

据新浪微博记录,较早发现该住客信息查询网站的是一位名叫“毅咝不挂”的网友。前日22时26分,其发微博说,“那个开房记录,有人做了在线查询”,并提供了上述链接地址。该网友认证信息是吉林某地产公司的执行董事。“毅咝不挂”昨晚回复南都记者称,其是在网上看到该网站的,但未透露详情。

网友留言显示,已有网友通过网站查询了自己或身边人的开房信息,并表示身份证和手机对得上。网友“咱说”就表示,“刚看到有人给出链接,说是输入人名就可查某快捷酒店的开房记录。试了下,居然有我,根据登记时间回忆了一下,是去年去北京开会住的@锦江之星连锁酒店,又查了同去的几个实验室成员,都对上了。还好因为不是会员没有暴露手机号之类的信息,但身份证号是保不住了,真可怕!怒!”

域名信息查询结果显示,这个以U S为后缀的查询网站,注册地是美国新泽西州,注册日期是2013年7月28日。在被微博网友围观几小时后,昨天凌晨1时许,国内用户已无法访问该网站。

酒店Wi-Fi管理系统被曝有风险

有网友猜测,该查询网站的数据就来自前不久被曝出的“酒店开房记录”。10月5日,国内安全漏洞监测平台乌云(w w w .w ooyun.org)发布报告称,如家、汉庭等大批快捷酒店的开房记录,因存在第三方存储和系统漏洞而被泄露,并在接下来的一周引发关注。

据乌云的“漏洞详情”描述,如家、咸阳国贸、杭州维景国际等全部或者部分使用了慧达驿站开发的酒店W i-Fi管理、认证管理系统。浙江慧达在服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期和房间号等隐私信息,因浙江慧达系统存在漏洞,使这些信息存在被泄露的风险。按乌云的说法,早在8月21日,其已将漏洞细节通知厂商,并于8月26日得到厂商确认。

据慧达驿站官网介绍,浙江慧达驿站网络有限公司创立于2005年12月,“时至今日,已经成长为中国最大的酒店数字客房服务商”,“公司业务已覆盖全国4500多家星级和经济连锁酒店”。

10月10日,慧达驿站在官网发布通告,承认其无线门户系统此前存在隐患。通告称,“经查证,无线门户系统存在信息安全加密等级较低问题,有信息泄露的安全隐患”,并主动揽责,“有关无线门户系统的安全性问题,是慧达驿站的责任,与任何酒店客户无关”。

慧达驿站同时否认有住客信息泄露。该公司市场总监韩冰当时表示,从后台和操作日志看,住客信息未发生泄露,此前媒体报道中的截屏信息“是相关机构作为技术验证漏洞的展示”。

相关数据文件网上仍流传

10月12日,慧达驿站曾在官网发公告,称经国家互联网应急中心运行管理部的针对性检查,确认该漏洞已修复,存在的隐患已被解除。不过,住客信息查询网站的出现,暗示情况并非慧达驿站想象的那样。

事实上,据南都记者查证,就在这个查询网站出现前,所谓“酒店开房记录”的压缩文件包就已在网上流传。截至昨日,在微博中以“开房记录”作关键词检索,仍能找到部分链接地址。据称,这个1 .7G的单个大数据文件,内含“2000万条开房记录”,需要首先进行数据库还原操作。

此次风波又再次搅动公众对个人信息的关注。网友“山中大卫”感慨,这是一个“裸奔时代”。此前,有江苏律师在接受《扬子晚报》采访时分析,若真发生信息泄露情况,技术商肯定要承担过错责任,酒店方亦可被要求承担连带责任。

慧达驿站尚未对上述查询网站的出现作进一步回应。该公司市场总监韩冰此前曾称,“如果真的出现用户信息泄露,我们愿意全权负责,承担起本次事件的一切后果。”南都记者 张东锋

10月5日,乌云发布报告称,大批快捷酒店的开房记录存在泄露风险。

10月10日,提供酒店Wi-F i管理、认证管理系统的慧达驿站承认,其无线门户系统此前存在隐患。

10月12日,慧达驿站在官网公告,漏洞已修复,隐患解除。

10月15日晚,一个可检索酒店住客信息的查询网站出现,可在线查询部分住客的开房信息。