上一版 下一版

第B01版:3C周刊

都是WiFi惹的祸

快捷酒店WiFi泄露客户信息,公共无线网络安全堪忧 2013-10-24

    随着移动互联网的普及,O2O(Online To Offline,即将线下商务与互联网结合在一起)的概念也越来越风靡,而如今这个潮流也蔓延到了个人隐私泄露的问题上,个人信息的泄露开始有O2O的苗头。国内安全漏洞监测平台乌云(WooYun.org)近日发布报告,称如家、汉庭等大批酒店的开房记录被第三方存储,并且有可能因为漏洞而泄露信息,随后更有网站提供了相关记录的在线查询,引起了社会对个人信息泄露的再度关注,而传统的线下酒店行业,也因来自线上的威胁而不能独善其身了。

    WiFi漏洞致泄露“天机”

    据乌云平台透露,困扰酒店行业的漏洞早在8月份就已经被发现并确认,随后按照标准流程通知厂商,并逐步向专家和技术人员公开。该漏洞发现者称,如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店WiFi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。而从技术角度上看,这些信息是可以被黑客拿到的。

    针对乌云平台披露的信息,慧达驿站通过网站公告回应,承认乌云平台所指出的安全隐患,但声称已完成软件系统的全面升级。公告称,慧达驿站的无线门户认证系统存在信息安全加密等级较低的问题,有信息泄漏的安全隐患,慧达驿站的技术团队针对现有无线门户认证系统已完成全面升级。此前,媒体的相关报道中曾展示出一份住客信息被泄密截屏。对此,慧达驿站则回应称,“截屏中的住客信息未发生泄密情况,截屏信息是相关机构作为技术验证漏洞的展示。”同时,慧达驿站强调,“有关无线门户系统的安全性问题,是慧达驿站的责任,与任何酒店客户无关。”

    据安全业内人士透露,慧达驿站的无线认证系统要求酒店在提交开放记录的时候进行网页认证,但不是在酒店服务器上,而要通过慧达驿站自己的服务器,理所当然地就存下了客户的信息。而与之合作的酒店其住户信息就集中存放在了慧达驿站的服务器上。另外,客户信息的数据同步是通过http协议实现的,需要认证,但是认证用户名、密码竟然是明文传输的,从各个途径都可能被轻松嗅探到,用这个认证信息就可以从慧达驿站的数据服务器上获得所有酒店上传的客户开房信息。这也是住户信息泄露的主要原因。至于其中有没有人为泄露的因素,公安机关方面表示尚在调查中。

    “开房”记录人人可查

    本来酒店入住记录存在泄露的可能已经让不少人心惊胆战,而这些重要的资料直接被泄露于互联网并可供所有人查阅则无疑让本次泄露事件火上加油。据南方日报记者了解到,实名认证的新浪微博账户@股社区发布了一个名为“查开房”的网址,据介绍,该网站界面虽然很简陋,只有两个查询框,但经过验证,只需输入姓名或身份证号,即可查询到包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等详细的个人资料。在@股社区的微博评论中,多位网友声称,经实测后,查询到了自己或身边朋友的信息,只是部分数据并不完整。

    针对“查开房”网站,慧达驿站公司表示,日前已发现该网站,经查该网站“是个会员数据库”,与其无关,并称不方便透露泄露来源。“这个数据库,与此前乌云平台关于酒店开房信息被泄露报告中的数据库,是两个数据库,明眼人一看就知道。”慧达驿站公司的发言人这样表示。而被指涉及泄露信息的汉庭连锁酒店表示,技术部门日前已发现该网站,并且已经排除数据库来自汉庭的可能性。7天连锁酒店、锦江之星连锁酒店也表示,将针对“查开房”网一事进行调查。据悉,由于“查开房”网站并没有得到工商部门颁发的营运牌照,在公安机关介入调查后,该网站日前已经被屏蔽,无法访问。

    虽然如今“查开房”网站已经被查封,但是据网友向南方日报记者爆料,在淘宝网上已经有卖家在贩卖相关的个人信息。南方日报记者在淘宝网输入“开房信息”后,竟然可以查到名称为“开房信息,大型酒店必备客源”的“宝贝”。其中“开房信息”商品标价2000元,标注大小为7G。而随后更有网友曝光了2000万条的开房数据,并对其进行了细致的统计分析。据最新的消息显示,淘宝网上的相关商品也已经下架。但有互联网领域安全专家表示,以互联网的传播速度,至今早已经有不计其数的数据拷贝版本在各种网盘和分享链接中。

    商家应强化客户隐私保护机制

    针对本次酒店WiFi问题导致的个人信息泄露,本报记者采访了360安全专家安杨。对于酒店WiFi搭设的现状,安杨认为,部分酒店有自建的WiFi系统,但大部分酒店采用第三方解决方案,因为只需要接入即可,比较快捷方便。而此次乌云曝光的第三方存储泄露事件,从网上披露的信息分析,是由于用户连接酒店WiFi时,需要输入自己的个人资料,并提交到第三方系统上进行身份验证(以免他人蹭网)造成的:“第三方系统存在漏洞,管理账户和密码通过明文传递,因此黑客可以通过嗅探攻击拿到密码,入侵第三方系统获取到了酒店客户的隐私信息。”

    那么酒店应该怎样做才能保护好客户的隐私呢?安杨认为:“对于自建系统,要注意系统安全建设,对软件和路由器漏洞及时进行修复。对于使用第三方服务的,酒店需要强化客户隐私保护机制,明确什么信息能传给第三方服务器,什么信息不能传,什么信息需要加密等等,在选购和建设时要沟通充分”。对于像慧达驿站这样的第三方系统,安杨认为,首先要明确用于验证等功能需要的信息有哪些,不越界,不请求涉及客户信息的内容;其次数据传输过程要加密,不能明文传输,同时重视系统安全性,定期检测和修复漏洞。

    开放的WiFi信号就像一个广场

    随着智能终端的不断普及,用户对上网的需求也日趋明显,而借助WiFi也成为了不少移动终端用户的首选,但是越来越普遍的WiFi链接,也开始引发了安全性方面的隐患。

    据资料显示,WiFi的通信标准于2009年制定,但由于无线信号的分散性的特点,使得开放的WiFi信号就像一个广场,安全性并不能令人满意。其中免费无线网络更是安全问题的重灾区。早在2012年2月,就有黑客自曝在星巴克、肯德基这些提供免费无线网络的公共场合,用一台笔记本电脑、一套无线网络设备以及一个网络包分析软件,可以搭建一个免费的伪造无线网络,名称为KFC、GMCC、Starbucks2等,不明真相的用户不需要密码就能马上登录,但一旦用户连接该无线网络信号后,黑客在15分钟之内就可以窃取上网用户的个人信息和密码。如果上网用户进行了网上交易操作,包括网银账号密码、炒股账号密码在内的数据也一律会被黑客拿下。

    据互联网安全专家表示,这实际上是局域网内一种中间人攻击,这种攻击手段早在2001年就已经有非常成熟的工具,而且非常简单。对于网络传输中非加密的数据(比如登录微博、一些邮箱),很容易导致密码的泄漏,而日常上网中的大多数操作都是没有加密的。同时,发起攻击的黑客甚至可以植入一段恶意的代码以达到其目的。像电影中利用窃听程序获取手机用户的通话内容,并不是危言耸听。

    加密无线网络也有漏洞

    随着技术的进步和用户使用习惯的改变,即使加密的无线网络也开始出现漏洞。在今年九月,当小米手机推出的“WiFi分享”新功能时则引起了行业的热议和质疑。据介绍,小米系统的WiFi分享功能能够在小米用户进入有WiFi信号覆盖的公共场所(如咖啡厅)时,选择一键“分享网络密码”,让其他小米用户直接连上加密的WiFi。根据小米公司的数据显示,小米服务器上存储的公共场所WiFi密码达到32万个。

    小米CEO雷军表示,该功能是为免去用户再次输入密码的麻烦,假设几个朋友到咖啡厅,只要其中一个人向服务员索要WiFi密码,其他人就都能连接上。就此功能不少商家和安全专家都公开表示了反对,从资源利用的层面来说,这种行为无疑是在鼓励用户“蹭网”,虽然有一定的便利性,但却会使得商家的利益受到侵害。而热点分享之后,同时在线人数激增,会增加公共WiFi的带宽压力,造成网络堵塞,影响上网体验。更重要的是,这种随意的网络共享会造成整个局域网内安全性的下降。虽然小米自称只是分享公共场所如咖啡厅的加密密码,但许多人担心如果企业WiFi网络密码被分享会成为潜在的安全隐患。迫于压力,小米方面已经叫停了该功能的上线,并删除了服务器上保存的大量公共WiFi密码。

    南方日报记者 叶丹 巫伟

    实习生 黄祖健

打印本页


图集推荐

南方日报

B01:3C周刊