網曝開房信息 頗受網友關注
據知情人介紹,“2000W開房數據”在網上出現后,以每天近4萬次的頻率被人們瘋狂下載。好事者又把它重新編輯成多個版本,如“18-30歲mm開房數據”等。
“18-30歲mm開房數據”中,包含住址在北京的18歲至30歲女性酒店入住信息29063條。
網上還出現多個替人查開房信息的網站,其中一個網址為“www.zhaokaifang.com”的網頁“頗受歡迎”。記者選取“張燕”、“李剛”等常見姓名查詢,均能查到千人左右。
有媒體報道稱,這些查詢網站為防止被關閉,紛紛將服務器設到國外,讓警方束手無策。
事件探因:酒店Wi-Fi系統不完善導致事發
據烏云網的工作人員介紹,涉事酒店使用了浙江慧達驛站網絡有限公司開發的酒店Wi-Fi管理、認證系統,而問題由此產生。
一位長期從事信息安全工作的專業人士告訴記者,目前幾乎所有酒店都有Wi-Fi覆蓋。為了保證實名上網,在酒店上Wi-Fi需要身份驗證。這些信息都要匯總給提供Wi-Fi服務的網絡公司。
漏洞的根源在于慧達驛站公司管理機制不完善,其系統要求酒店在提交入住記錄時進行網頁認證,但不是在酒店服務器上,而是要通過浙江慧達驛站公司自己的服務器,于是后者就存下了客戶的信息。
浙江慧達驛站公司在服務器上實時存儲了酒店客戶的信息,并允許相關對象或需求方下載、讀取。盡管設有密碼驗證,但客戶信息在數據同步傳輸時所使用的認證用戶名、密碼都是明文傳輸,即在密碼驗證過程中未對傳輸數據加密,而這很容易導致黑客截獲明文密碼,然后憑借這個密碼下載酒店用戶數據。
無線網架設投入大 故選第三方服務
北京某網絡安全公司經理白先生表示,酒店內的Wi-Fi覆蓋是隨著酒店業發展而興起的一項常規服務。
無線網的架設需要基站,但投入成本過大,還需要專人維護。在這種情況下,很多酒店選擇和網絡服務商合作,由網絡服務商來提供無線網絡服務及服務器。
白經理認為,直接讓第三方公司來管理酒店客戶信息,本身就增加了泄密的可能性。從信息安全角度出發,酒店如果選擇第三方服務的方式,就應提高合作準入門檻。