乌云网曝酒店开房记录被泄 被指涉嫌侵权

oschina
 oschina
发布于 2013年10月14日
收藏 9

文章出处:第一财经日报

一份被泄露的酒店开房记录正在形成一团乌云,让牵涉其中的如家、华住和锦江之星等知名连锁酒店措手不及,上周末,它们都在忙着拟写声明。

日前,国内安全漏洞监测平台乌云网发布报告称,如家、汉庭等大批酒店的开房记录因存在第三方存储和系统漏洞而被泄露。昨日,如家、华住、港中旅、锦江之星等纷纷发表声明,称不涉及泄露资料。

法律界人士则表示,乌云网的手法游走在“灰色地带”,涉嫌侵权,目前,酒店客户资料安全管理的确是个问题,但不应通过公之于众的方式进行。

公布开房记录是按流程操作

乌 云网报告称,如家、咸阳国贸、杭州维景国际和驿家365快捷等全部或者部分使用了浙江慧达驿站网络有限公司(下称“浙江慧达”)开发的酒店WiFi管理、 认证管理系统。而浙江慧达在服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期和房间号等隐私信息。因浙江慧达系统存在漏洞,使这些 信息存在被泄露的风险。

2010年5月上线的乌云网,是一家网络漏洞报告平台,用户在这里自由上传漏洞信息,等待厂商核实并修复;因先后被曝出CSDN、天涯、当当、京东商城等网站存在安全漏洞,于2011年声名鹊起。

业内人士“不喝可乐男”告诉《第一财经日报》,它在圈内很知名,乌云网就是一个“黑客”聚集之地。不过,他们都是“白帽子”。“白帽子”们的战斗方式是:挖掘网站中的安全漏洞,在“黑帽子”利用它们之前,提交到平台上,或者向厂商报告,希望厂商及时进行修复。

在 “黑客”的世界中,可被分为三种类型,第一类:白帽子,也即正面的“黑客”,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布 其漏洞,让系统在被其他人利用之前来修补漏洞;第二类:灰帽子,他们擅长攻击技术,但不轻易造成破坏;他们精通攻击与防御,同时头脑里具有信息安全体系的 宏观意识;第三类:黑帽子,他们研究攻击技术,唯一的目的就是惹是生非。

“我们并不是一个组织,只是一个平台聚集了一些爱好安全技术的人。 很多白帽子都来这里分享漏洞,也只有得到核实并已经采取防范措施解决问题后才会被公开。”昨日,乌云网相关负责人向记者证实,该漏洞早在8月21日就已被 发现,在通知厂商后,按照流程于10月5日进行了公开,而消息在10月10日散布到了大众网络。

“虽然浙江慧达说已升级了系统堵上了漏洞, 但在漏洞未发现前的这一段时间内,这些开房记录依然有已经被窃取泄露的风险。”上述人士称,这次发布其实透露了一种担心——既然他们可以拿到宾馆的住宿信 息,那么就不能排除还有其他人早于他们窃取相关资料的可能,“我们实际上保护的是厂商的用户,但是很多厂商基于公关的考虑,都极力回避(安全漏洞)这些问 题,所以我们想借这个平台来更好地做这个事情。”

乌云网法务顾问赵占领律师也表示,此次泄露事件其实仅仅是流程中的一次普通发布。

上 述乌云网负责人称,涉事酒店全部或者部分使用了浙江慧达开发的酒店WiFi管理、认证管理系统。而事情就由此而起——简单地说,由于各个酒店使用了这套系 统,因此该公司在其服务器上实时存储了这些酒店客户的记录,由于客户信息在数据同步时所使用的认证用户名、密码都是明文传输的(正是这点让泄露出现了可 能),很容易就可以被专业人员从其数据服务器上获得酒店上传的客户信息。

安全与侵权隐患

目前,连锁酒店的无线IT系统通常有两种管理模式,一为自行研发;二为使用第三方系统。前者需要不菲的研发资金和人力,相对而言安全把控性高;后者研发投入低,但存在安全风险。

本次泄露风波的关键当事方就是被指存在漏洞的浙江慧达。

浙 江慧达方面表示,经查证,无线门户系统存在信息安全加密等级较低问题,有信息泄漏的安全隐患,浙江慧达的技术团队针对现有无线门户认证系统已完成全面升 级,感谢乌云网对浙江慧达提升产品安全性的帮助。有关无线门户系统的安全性问题,是浙江慧达的责任,与任何酒店客户无关。浙江慧达同时声明,在无线门户业 务领域与汉庭酒店、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店客户没有合作关系。

昨日,如家方面向记者表示,与其合作的无线信息技术服务供应商确实是浙江慧达,酒店对此非常重视,已与浙江慧达方面配合,对漏洞进行了检查和修补。如家同时称,将吸取此次教训,建立长效机制,未来将“确保顾客安全”。

而华住及锦江之星方面均表示,在无线项目上与浙江慧达并无合作。华住方面还表示,保留对乌云网进一步追诉的权利。

浙江慧达市场总监韩先生在接受记者采访时称,对于造成的损失,单纯是技术层面的,没有直接造成客户信息的泄露。目前,其安全等级已经达到国家应急中心的检测标准,并确认修复漏洞。

韩先生再次重申,与汉庭等酒店的合作,并没有在WiFi门户系统认证这一块,而是其他产品。

记者昨日登录浙江慧达网站,点击其合作伙伴一栏,显示“系统正在维护中”而无法访问。

此外,针对乌云网发布的有关浙江慧达无线门户认证的漏洞,国家互联网应急中心(CNCERT)运行管理部的有关人士对浙江慧达实施的修复措施进行了针对性的检查,确认该漏洞已被修复。

“据业内反映,与浙江慧达进行无线合作的酒店不多,但全国数千家酒店,总有部分酒店使用过浙江慧达的电脑租赁,而使用其电脑也存在风险,因此安全隐患需重视。”一位经济型酒店业者指出。

“从 法律角度来讲,乌云网被业界认为是通过一些‘黑客’手段寻找漏洞,按此说法,乌云网本身涉嫌侵权,因为其通过非正当手段获取数据寻找漏洞。假如乌云网是一 名‘善意的黑客’,其目的仅是为帮助企业修补漏洞,那么乌云网应该私下就找出的漏洞与企业沟通,而不是公之于众。要知道酒店登记入住涉及个人隐私和资料, 一旦信息被泄露不仅涉嫌对企业侵权,也涉嫌对个人侵权,假如客人因此状告酒店而酒店再以侵权状告乌云网,那么乌云网就会很麻烦。”上海袁圆律师事务所陈军 律师分析。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:乌云网曝酒店开房记录被泄 被指涉嫌侵权
加载中

最新评论(49

sevk
sevk

引用来自“kiss宝莹”的评论

引用来自“巴哥”的评论

呵呵..
开房的人很生气.后果很严重.

言下之意是否指开房的就是这帮律师?

其实90%的成年人都开过房,开房是正常的.

但偷窃资料好像是不对的吧? 如果真要公开,也要告知消费者.
kiss宝莹
kiss宝莹

引用来自“巴哥”的评论

呵呵..
开房的人很生气.后果很严重.

言下之意是否指开房的就是这帮律师?
Kevin19701
Kevin19701

引用来自“sevk”的评论

这方面没有法律吗?

法律,天朝每天上演的剧本,你还相信有法可依,违法必究吗。
sevk
sevk
这方面没有法律吗?
Kevin19701
Kevin19701
法律界人士真实掩耳盗铃,哈哈哈。看来有ZF背景,做错了事,也会有法律界人士来救场的。乌云快被封了吧。
吞鱼小王子
吞鱼小王子

引用来自“番茄炒蛋”的评论

引用来自“renebunny”的评论

已下载嘎嘎嘎

求链接

百度 某酒店2000w
番茄炒蛋
番茄炒蛋

引用来自“renebunny”的评论

已下载嘎嘎嘎

求链接
没手机的不配发言
没手机的不配发言
看了<冰与火之歌>, 发现有段对白. "你以为权利就是一顶皇冠吗?"

如果只是一场炒作. 这酒店恐怕选错题材了. 如果想要维权. 恐怕也找错目标了. 虽然说 酒店住户如果向酒店提起维权,酒店会追究乌云平台. 不过似乎也只是一种推理. 能否成立还有待考证. 但是破坏性影响却是必然. 泄露信息已是事实. 无论责任如何划分, 潜在危害已经存在, 事情越热闹. 损失越明显. 历时越长久, 指不定会成为经典之作,成为后世传唱. 只可惜这酒店无辜被背上了这沉重的烙印. 酒店经理公关能力想来也是相当了得. 做的烂就做的烂吧, 还怕别人说有漏洞.
吞鱼小王子
吞鱼小王子
已下载嘎嘎嘎
kkepoll1984
kkepoll1984

引用来自“李师叔”的评论

一群傻逼,没有乌云就等着被黑客玩死吧

不见得吧?出台的法律是儿戏?近几年因为恶意攻击被抓的人还少? 再说乌云本身就不受监管的吧?
返回顶部
顶部