【百姓心声案例】
【事件介绍】
2013年10月10日,乌云将下载的一家如家酒店客户信息提供给记者,客户的身份证号、房间号码和入住时间等信息均可清楚看到。
近日,国内安全漏洞监测平台乌云发布报告称,如家、汉庭等大批酒店的客户开房记录因被第三方存储和系统漏洞而泄露。
报告称数据传输过程未被加密
乌云报告称,如家、咸阳国贸、杭州维景国际和驿家365快捷等酒店,全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店wifi管理、认证管理系统,但由于系统中存在漏洞,使得酒店在使用过程中存在数据泄露的风险。
报告中,乌云曝光了网上下载酒店客户信息的过程,并将相关网页截图,包括登录身份验证页面。成功下载的客户信息中完整记录了入住酒店旅客的身份证、入住时间、入住的房间号码等隐私信息。
乌云在回复记者采访时解释,浙江慧达wifi服务机构将所有用户信息储存在互联网上,并允许相关对象或需求方进行下载与读取。尽管有密码的验证限制,但由于安全意识不足,在进行密码验证过程中并未对传输数据进行加密,导致任何第三方都可以轻松截获到服务器传递的明文密码,“有了这个密码,就可下载该公司存储的酒店用户数据了。”
汉庭辩解称使用自有系统
“对不起,我是他同事,稍后晚点回复您。”10月10日,记者致电如家酒店公关经理叶秉喜手机时,对方如此回复,截至记者发稿前,都未能联系上叶秉喜。
汉庭酒店方则解释称,汉庭酒店的入住系统是由总部技术部设置的,并且表示并未听说过浙江慧达驿站这家公司。关于旅客入住信息被泄露的问题,汉庭解释说,“这个消息是一些小的网站披露的,消息本身就是没有得到证实的。”
事实上,在10月8日,厂商已经对漏洞事件做出说明,承认住客验证登入酒店无线网络的信息同步技术存在安全隐患。浙江慧达表示已在第一时间完成系统升级,漏洞已修补。
10月10日,乌云将下载的一家如家酒店客户信息提供给记者,客户的身份证号、房间号码和入住时间等信息均可清楚看到。
追问如家等酒店开房记录泄露:谁在偷看?
国内网络安全漏洞监测平台“乌云”日前发布报告称,如家等大批酒店的客户开房记录因被第三方存储和系统漏洞而泄露。通过这一漏洞,酒店客户的姓名、身份证号码、开房日期等敏感信息将一览无余。该事件再次引发舆论对个人信息安全的热议,不少网民“惊呆了”,纷纷质疑,我们的个人信息还安全吗?
一问:酒店客户信息是如何泄露的?
近日,有媒体报道称,由于浙江慧达驿站网络有限公司开发的wifi管理系统的服务器存在安全漏洞,导致如家、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店等客户的实名认证信息大量泄露,包括客户的姓名、身份证号、开房日期等。
消息一出立刻引发众多网民“惊慌”。在担忧自己的信息泄露的同时,有人质疑,为何这些只有酒店掌握的信息会全部暴露在公众视野内?
10月12日,记者采访到“乌云”网站的负责人孟先生,他就该事件中客户个人信息泄露的发现过程进行了披露。孟先生说,这些酒店客户信息泄露的情况属实。
据介绍,这些酒店的客户登录酒店wifi网络时,需要提供实名信息,这些信息就存储在wifi管理系统的服务器上。但是认证用户名跟密码是明文传输的,各个途径都可能被嗅探到。然后用这个认证信息,就可以从他们数据服务器上获得所有酒店上传的客户开房信息。
二问:信息是否已被不法分子截获?
酒店开房记录泄露后,一些网民从“乌云”网站上发现,今年8月26日“乌云”就已经接到漏洞报告,但是为何10月8日才公布厂商回复,已确认修复漏洞。这中间一个多月时间,是否已有不法分子截获了这些信息?
慧达驿站网络有限公司市场部总监韩冰回应称,在接到“乌云”提供的漏洞信息后,公司已经对服务器下载记录进行核查,并未发现信息泄露的情况。但是,公司开发的无线门户系统确实存在信息安全加密等级较低问题,有信息泄露的安全隐患,慧达驿站的技术团队针对现有无线门户认证系统已完成全面升级,并且愿意承担全部责任。
对于网民疑问,孟先生表示,从8月份接到漏洞报告到10月份公布这一漏洞信息,实际上在这中间已经通知慧达驿站公司修补漏洞,确认漏洞修补好之后才在网上公布了这一信息。“数据泄露有很多种渠道,这一漏洞并不是只有我们能发现,客户的个人信息是否已经提前被不法分子截获,我们不得而知。”
三问:“云时代”用户信息有无保证?
网民“多乐”在网上抱怨,住酒店泄露身份证号,那么银行取钱是否能泄露银行卡号和密码?互联网时代,我们的个人信息和隐私为什么如此“透明”?为何如此没有安全感?
“乌云”的创始人之一方先生对这种现状也表现出一丝无奈。他表示酒店客户信息遭泄密只是“冰山一角”。在监测平台“乌云”看来,随着“云”时代到来,数据储存存在很大的安全隐患,类似个人敏感信息遭泄露的可能性非常普遍。
“只要你在互联网操作过程中,若服务器并非自己的服务器,这时如果将个人敏感信息数据储存在对方服务器上,就存在很大的安全隐患。比如网购过程中将自己的账号和密码等信息上传,就存在着一定的风险。”方先生还表示,普通用户由于存在“技术盲区”,无法辨识自己信息是否有安全隐患。酒店客户泄露事件在他们眼中只是“一般级别”的预警事件,因为和公众切身利益相关才引起这么大的轰动。
这其实反映了一个现实问题,在市场交易中,服务提供方处于主导地位,普通用户在使用中处于被动地位,只能选择输入自己的邮箱,电话、身份证等私人信息来完成交易。服务提供方标榜自己安全有保证,但事实上,安全漏洞谁也无法保证绝对安全。“掌握别人的隐私就有义务保护好,但是能做到这一点的很少。”方先生说。
汉庭回应开房记录泄露:与涉事商没wifi合作
一条新闻引发了无数人对隐私泄漏的担忧。
国内安全漏洞监测平台乌云()近日发布报告,称如家、汉庭等大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。
不过,华住酒店(汉庭更名后新名称)相关负责人10日晚间对腾讯财经表示,乌云的这份报告涉及汉庭的内容并不属实,华住正在准备相关声明,预计将在明早发布。
乌云报告称,如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用了浙江慧达驿站网络有限公司(以下简称惠达驿站)开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记录,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。结果因为某种原因,这些信息是可以被黑客拿到的。
但华住负责人称,华住旗下的酒店并未使用慧达驿站开发的酒店Wi-Fi管理、认证管理系统。而汉庭之所以出现在该公司网站的合作伙伴、成功案例栏目当中,是因为多年以前汉庭连锁酒店的数码房与该公司进行了合作,通过该公司采购了电脑等硬件。目前,华住旗下已经没有了这样的数码房。
惠达驿站的网站介绍则称,2005年8月汉庭(NSDK:HTHT)第一家酒店开业,与慧达合作数码客房,截止2011年第一季度,已与惠达驿站合作酒店超过200多家数码房,它以基础信息库为核心的体系架构,包括运维监控平台、信息交互平台、增值服务平台和综合信息平台四部分。
这一介绍说明双方的合作至少持续到2011年,也并不限于电脑硬件,而是一个以基础信息库为核心的体系架构。不过,介绍中也未提及此次涉事的Wi-Fi管理、认证管理系统。
华住表示,他们正在努力尝试联系上乌云网的负责人,希望向乌云网解释说明情况。但是由于乌云网仅在网站上留有邮箱,目前只能通过发送邮件,以及在网站帖子和乌云网微博下留言的方式与对方联系,暂未有实质沟通。
腾讯财经也拨通了如家酒店公关负责人的电话,但目前处于无人接听状态。
据悉,该漏洞早在8月份就已经被发现并确认,随后按照标准流程通知厂商,并逐步向专家和技术人员公开,而如今已将漏洞细节公之于众,也交给了国家互联网应急中心进行处理。
“查开房”泄露隐私 不能不当回事
该事件的发生,到底是有关酒店的信息管理系统存在安全漏洞,遭到黑客侵入所致,还是酒店或酒店工作人员故意将个人信息提供于他人的缘故,抑或是有人恶作剧,都应查明原因。
若是网络黑客侵入有漏洞的酒店信息管理系统,窃取开房者信息后公布,导致大量开房者个人信息泄露,则成立非法获取公民个人信息罪。若是酒店或酒店工作人员故意将开房者个人信息卖于他人、非法提供给他人所致,则成立出售、非法提供公民个人信息罪。可见,该事件涉及刑事犯罪,有必要立案侦查。
另据悉,该漏洞早在8月份就已被发现。可为什么这么长时间漏洞未得到修复?据悉,一周前该漏洞被交给了国家互联网应急中心,应急中心是否进行了应急处理,又是如何处理的?还有,开房者信息泄露是发生在国家互联网应急中心接报之前,还是在此之后?对此,公众也应有知情权。希望国家互联网应急中心能给予明确的答复。
眼下,互联网泄露个人隐私信息日益猖獗,以“查开房”为例,除已曝光问题外,在淘宝上,甚至有店铺专门以此为生意。究其原因,在网下,如宾馆酒店登记人员入住,通信运营商、银行为用户办理手续,搜集了大量个人信息,这些企业如何保障这些个人信息的安全,却很少引起关注。而在网上,许多公民隐私信息长期传播、售卖,若不被媒体曝光,往往并不会受到查处,这就使得一些违法之徒肆无忌惮。
国际上,个人隐私信息保护被置于互联网立法的第一位。像“查开房”这样的事情,就是互联网天大的事情。从如家、汉庭等以不靠谱的方式存储客户信息开始,到客户信息泄露,乃至出现“查开房”事件,从商家到有关部门,乃至可能“好事”的网友,竟然对个人隐私信息保护如此麻木不仁,甚至一步步触犯刑法,令人感到一连串的不可思议。
现在,警方已介入调查,希望接下来依法调查此案,让公众看到真相,让所有的违法者受到追究。通过这样有影响力的个案,让社会看到,个人隐私信息保护的刚性。
开房信息泄露,不能搞成一场狂欢
从存在泄露隐患的信息被披露开始,网上就出现了各种各样的声音。愤怒者有之,担心者有之,调侃者有之,幸灾乐祸者亦有之。而且,从声音的强度上来看,调侃者和幸灾乐祸者占了很大的比例。他们所持的观点,不外乎“不做亏心事,不怕鬼敲门,你怕什么?”或者“这回看‘小三’和贪官们的情妇们往哪儿跑”之类。
综合起来看,这些人的观点就是,如果你心里没鬼,公不公开都不会害怕,如果你害怕,说明你心里有鬼。而所谓的“鬼”,要么是带着“小三”开房,要么自己就是“小三”,要么自己就是贪官—见不得人,自然也就怕公开怕曝光了。
客观地来说,这样的公开确实有可能让一些生活作风不佳的官员甚至是包养情妇的贪官曝光。比如,如果某个官员在自己工作所在地的酒店频繁开房,就有可能存在网友猜想的问题。而且,这也为夫妻关系中的一方发现另一方的问题,提供了便利。但是,很显然,无论是“小三”、“情妇”还是“多情男”,甚至是暴露之前的贪官,他们在涉及隐私权的个人信息面前,并不比任何人低一等,他们的开房信息都应该获得同等的保护,任何人不得侵犯。更何况,更多的“开房”者并非出于某些人想象的目的。
就像司法证据不能从非法途径获得一样,由于这些开房信息都属于隐私范畴,除非是由司法机关以合法的理由,通过合法的程序,从合法的途径获得,任何人获得这些信息,以及将自己获得的信息提供给别人或供人查询,都是非法的,都是对他人隐私权的侵犯。
所以,且不可因为“小三”、“贪官”等字眼,或者仅仅因为“开房”二字带来的想象快感,便将开房信息泄露事件当作一场狂欢,喜看“查开房”查出来多少欢喜冤家,拆散多少看似恩爱的夫妻,或者井喷出多少捉**事件。这是一个任何人都有可能成为受害者的事件,相关的公司和酒店自然责无旁贷,但提供“查开房”服务的始作俑者则更是涉嫌违法犯罪,需要有关部门的及早介入。
【启示与思考】
从多家快递公司的大量快递单信息被公开出售,到多家航空公司遭遇“泄露门”导致订票旅客被骗失财;再到“查开房”网址的横空出世,最近一段时间的个人信息泄露事件可谓是层出不穷。就最近网络上出现的这个“查开房”网址事件来看,其影响实际上远比我们想象的要大得多。客户姓名、身份证号、地址、手机号等信息的全面泄露,意味着我们要饱受垃圾信息之苦、饱受没有隐私之痛,也很可能会被违法犯罪分子所利用,侵害客户的合法权益。
面对外界的质疑,涉事酒店各方也是态度各异。有的酒店直接给予了否认,宣称客户信息不是从自家酒店泄露出去的,有的表示正在查证,还有的干脆不予回应。但不管其态度如何,一个基本的事实是无法否认的,那就是客户曾经在该酒店有过开房记录,并且留下了自己的个人信息,但是现在这些个人信息却被人晒到了网络上,任何人都可以随意查证。那么,要说信息泄露和酒店一点关系没有,如何让人相信?
这些年,我们在实名制方面的确有很大的发展,火车票、机票、电话、上网、开房等均要求实名制,不可否认实名制背后的良善初衷,而且也在一定程度上打击了一些违法犯罪的问题。但与此同时,另一个问题也暴露出来了,即我们虽然发展了实名制,但与实名制配套的信息保护机制却远没有跟上,以至于我们的个人信息——包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等均被曝光,给我们的生活带来了极大的困扰。
今年2月,《信息安全技术公共及商用服务信息系统个人信息保护指南》出台,这是我国首个有关个人信息保护的国家标准。但是其最大的弱点是缺乏强制性,也无违反后的惩罚措施,现实作用有限。尽管刑法规定,出售或非法提供个人信息的犯罪主体为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,但这样的法律规定明显滞后现实需要,因为当前互联网公司、房地产公司、宾馆酒店等等都可能掌握个人信息,也都可能成为泄露公民个人信息的主体,这显然远远超出了法律约束的范畴。
于“查开房”一事而言,给我们最大的启示,便是要加强对个人信息的保护。作为消费者,我们当然希望这些企业能够通过加强内部管理,提高客户信息的保密级别,来防止信息泄露,维护客户利益。但是现实案例告诉我们,仅仅依靠商家的自律自觉,很难真正保障公民的个人信息安全。因此,自我保护意识的营造显得尤为重要,只有每个人都意识到信息保护是一件大事了,且去积极维护它,个人信息保护才会被社会重视起来。如果个人信息保护无法落地,那我们也只能无奈地感叹“开房有风险,入室需谨慎”了。
