网络公司否认酒店开房记录泄露:已修补漏洞

oschina
 oschina
发布于 2013年10月12日
收藏 4

新京报讯 (记者杨锋)近日,国内安全漏洞监测平台乌云(以下简称“乌云平台”)发布报告,称多家酒店的开房记录被无线上网认证管理系统供应商——浙江慧达驿站网络有限公司存储,并因系统有漏洞而存在泄露隐患。

昨日中午,慧达驿站市场部总监确认曾经存在漏洞,但并未造成开房记录等住客个人信息泄露,目前已修补漏洞。

报告称慧达8月末确认漏洞

该漏洞报告是乌云平台作者“YEP”在今年8月21日提交的,该漏洞早在8月26日便已得到慧达驿站确认,随后按照流程逐步公开,在10月5日公之于众。

该漏洞报告称,发现如家、咸阳国贸大酒店、杭州维景国际大酒店等酒店,全部或部分使用了慧达驿站的酒店Wifi管理、认证管理系统。

“用户WiFi上网时会被要求通过网页认证”,作者分析称,认证是在浙江慧达驿站的服务器上完成的,所以服务器保存了一份酒店客户信息。

作者解释了泄密的原因:客户信息的数据同步是通过http协议实现的,因此需要认证。但是慧达驿站的认证用户名跟密码是明文传输的,各个途径都可能被嗅探到。因此用这些认证信息,就可以从数据服务器上获得酒店上传的开房信息。

报告以如家酒店某店为例进行验证,并成功下载信息,“包括客户名(两个人的话,两个都会显示)、身份证号,开房日期,房间号等敏感、隐私信息”。

“他们这么做,我觉得动机有问题”,作者质疑。

慧达否认与多家酒店合作

昨日中午,慧达驿站市场部韩总监表示,在得到乌云平台的监测报告后进行了技术查证,所有漏洞都已修复完毕。

昨日下午,如家酒店集团公关部对此回应称,此事系慧达驿站责任,并援引慧达驿站的声明称,并未造成住客信息泄露。

而汉庭酒店所属的华住集团表示,该集团没有使用过任何慧达驿站的设备。

慧达驿站官网也发布公告称,在无线门户业务领域与汉庭酒店(华住集团)、咸阳国贸大酒店、杭州维景国际大酒店等客户没有合作关系。有关无线门户系统的安全性问题,是慧达驿站的责任,与任何酒店客户无关。

对于部分公众质疑的服务器存储个人信息问题,韩总监称,登入验证机制系按照互联网服务实名制要求进行操作。

“这符合国家互联网监管的管理规范,匹配酒店规范化管理的要求”,韩总监称,工信部、公安部明确规定,公共场所公民使用无线互联网需进行实名认证。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:网络公司否认酒店开房记录泄露:已修补漏洞
加载中

最新评论(38

理工小强
理工小强
哈哈 chap认证本身是安全的(也就是NAS到RADIUS的通讯) 只是用户到NAS的通讯如果不加密的话一样出问题
大胆猜想一下 慧达驿站的认证系统是用的开源的freeradius +openwrt+coovachilli 二次开发来的~
WeirdBIrd
WeirdBIrd

引用来自“wenshao”的评论

泄漏的是个sql server数据库文件,解压后有7.5G

娃哈哈
蟋蟀哥哥
蟋蟀哥哥

引用来自“wenshao”的评论

泄漏的是个sql server数据库文件,解压后有7.5G

在线查询,不用下载http://mujj.chinacloudapp.cn/index.php
蟋蟀哥哥
蟋蟀哥哥

引用来自“大案要案命案在身”的评论

我就纳闷了, 一个客户去酒店,资料登记给酒店了,结果泄露了,酒店说与我无关,是我的软件泄露的。 cao 什么逻辑。
那个网络公司也牛逼 死也不承认春光侧漏 ,然后说 问题都自己这边的 与 酒店无关。 我是客户 我才不管与谁有关, 我在酒店登记的 就是酒店的问题。

http://mujj.chinacloudapp.cn/index.php
蟋蟀哥哥
蟋蟀哥哥

引用来自“步狐久健”的评论

引用来自“蟋蟀哥哥”的评论

引用来自“DuS”的评论

you@红薯的开房记录么

哥出售

开门!查水表!

http://mujj.chinacloudapp.cn/index.php 不是我干的,网上就能查。
木川瓦兹
木川瓦兹

引用来自“wenshao”的评论

泄漏的是个sql server数据库文件,解压后有7.5G

肯定会有人问你要下载地址的
wenshao
wenshao
泄漏的是个sql server数据库文件,解压后有7.5G
落舞者
落舞者
其实大家很关注这个新闻就是在想:“有我的吗?”
高新文&
弱弱的求一下库行不行<0.0>
Smile月光
Smile月光
有没有你们的开房记录。。。哈哈哈
返回顶部
顶部