外泄的個(gè)人住店信息，包括姓名、性別、出生日期、身份證號、住址、手機(jī)號碼、工作單位等信息，有人制成名為“2000W開房數(shù)據(jù)”的文件傳到網(wǎng)絡(luò)，網(wǎng)民以每天近4萬次的頻率下載?！斗ㄖ仆韴?bào)》記者統(tǒng)計(jì)發(fā)現(xiàn)，2000萬條酒店個(gè)人住店信息中，北京人的信息有220754條。

北京人信息22萬條外泄

含姓名、出生日期、身份證號、住址、手機(jī)號等 年輕女性數(shù)據(jù)近3萬條 易引發(fā)詐騙和名譽(yù)侵權(quán)

泄露事件系因眾多酒店使用了浙江慧達(dá)驛站公司開發(fā)的酒店Wi-Fi管理、認(rèn)證系統(tǒng)，而該公司加密等級低，導(dǎo)致信息泄露事件發(fā)生。

延伸采訪

涉事網(wǎng)絡(luò)公司 為4500家酒店服務(wù)

“2000W開房數(shù)據(jù)”文件中，沒有注明入住的酒店名稱。但浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司官方網(wǎng)站顯示，該公司業(yè)務(wù)覆蓋除西藏的31個(gè)省市自治區(qū)的110多個(gè)城市，為4500多家星級和經(jīng)濟(jì)連鎖酒店提供各種服務(wù)。

如今，慧達(dá)驛站公司官網(wǎng)的“合作伙伴”一欄已經(jīng)無法點(diǎn)擊進(jìn)入。但“公司介紹”欄目下的文字顯示，該公司是如家數(shù)碼房唯一指定供應(yīng)商。

率先披露此事的國內(nèi)安全漏洞監(jiān)測平臺烏云網(wǎng)，曾公布一張截圖，上面是與浙江慧達(dá)驛站公司合作的部分經(jīng)濟(jì)型連鎖酒店名單，包括如家、漢庭、格林豪泰、布丁、錦江之星等20家。

上午，錦江之星、布丁和格林豪泰酒店均向記者表示，其Wi-Fi認(rèn)證、管理系統(tǒng)不是與浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司合作建立的。

格林豪泰方面還表示，其Wi-Fi認(rèn)證、管理系統(tǒng)是自己研發(fā)的，其以前和慧達(dá)驛站公司有過網(wǎng)絡(luò)以外方面的合作，烏云網(wǎng)雖然披露了合作酒店名單截圖，但只能說明慧達(dá)驛站公司把與其進(jìn)行過各類合作的酒店都列了上去。

記者上午也聯(lián)系了如家酒店，但客服人員提供的公司總機(jī)號碼，記者多次撥打一直沒人接聽。

北京人住店信息 有220754條

如今，“2000W開房數(shù)據(jù)”仍能正常地從網(wǎng)上下載。記者下載數(shù)據(jù)文件后進(jìn)行了統(tǒng)計(jì)分析。

根據(jù)本報(bào)統(tǒng)計(jì)，酒店入住信息中，住址在北京的有220754條信息。

記者進(jìn)一步統(tǒng)計(jì)發(fā)現(xiàn)，在這些涉及北京人的酒店入住信息中，涉及男性入住者的占六成多，涉及女性入住者的占近四成。

在30歲至60歲年齡段，北京男性是女性的1.9倍。但在18歲至30歲這一年齡段，北京男性僅為女性的1.2倍。

網(wǎng)曝開房信息 頗受網(wǎng)友關(guān)注

據(jù)知情人介紹，“2000W開房數(shù)據(jù)”在網(wǎng)上出現(xiàn)后，以每天近4萬次的頻率被人們瘋狂下載。好事者又把它重新編輯成多個(gè)版本，如“18-30歲mm開房數(shù)據(jù)”等。

“18-30歲mm開房數(shù)據(jù)”中，包含住址在北京的18歲至30歲女性酒店入住信息29063條。

網(wǎng)上還出現(xiàn)多個(gè)替人查開房信息的網(wǎng)站，其中一個(gè)網(wǎng)址為“www. zhaokaifang.com”的網(wǎng)頁“頗受歡迎”。記者選取“張燕”、“李剛”等常見姓名查詢，均能查到千人左右。有媒體報(bào)道稱，這些查詢網(wǎng)站為防止被關(guān)閉，紛紛將服務(wù)器設(shè)到國外，讓警方束手無策。

個(gè)人信息全暴露 易遭電話詐騙

上海市律師協(xié)會信息網(wǎng)絡(luò)與高新技術(shù)專業(yè)委員會主任商建剛向《法制晚報(bào)》記者表示，“2000W開房數(shù)據(jù)”隨時(shí)會給信息被泄露者帶來各種風(fēng)險(xiǎn)。

這些數(shù)據(jù)，一般則被用于各種煩人的電話營銷，嚴(yán)重則被不法分子用于電話詐騙。在電話詐騙案中，不法分子掌握事主的個(gè)人信息越全面，事主越容易上當(dāng)。

同時(shí)，不排除不懷好意者會在論壇、微博等處公布他人信息，侵犯他人隱私或散布謠言侵害他人名譽(yù)。

數(shù)據(jù)服務(wù)商 承認(rèn)有信息安全漏洞

浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司官方網(wǎng)站顯示，該公司的使命是“改善酒店網(wǎng)絡(luò)生態(tài)”，愿景是“打造中國商旅人群最適用的網(wǎng)絡(luò)平臺，成為最專業(yè)的IT服務(wù)提供商”，致力于“降低IT復(fù)雜度和IT成本”。

事件發(fā)生后，浙江慧達(dá)驛站公司發(fā)布通告，承認(rèn)無線系統(tǒng)存在信息安全加密等級較低問題，有信息泄漏的安全隱患，事件發(fā)生后技術(shù)團(tuán)隊(duì)已經(jīng)將系統(tǒng)全面升級。

該公司對被泄露個(gè)人信息的酒店顧客表達(dá)了歉意，并稱系統(tǒng)安全性問題與所有酒店客戶無關(guān)。

記者從由國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心聯(lián)合互聯(lián)網(wǎng)企業(yè)等建立的“國家信息安全漏洞共享平臺”上，看到了“關(guān)于浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司無線認(rèn)證數(shù)據(jù)通道服務(wù)器漏洞風(fēng)險(xiǎn)的處置情況公告”。

這則公告稱，浙江慧達(dá)驛站公司確實(shí)存在無線認(rèn)證數(shù)據(jù)通道服務(wù)器漏洞風(fēng)險(xiǎn)，但已經(jīng)進(jìn)行了修復(fù)處置。“國家信息安全漏洞共享平臺”將繼續(xù)跟蹤此事，做好應(yīng)急處置工作。

事件探因 酒店Wi-Fi系統(tǒng)不完善 導(dǎo)致事發(fā)

據(jù)烏云網(wǎng)的工作人員介紹，涉事酒店使用了浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司開發(fā)的酒店Wi-Fi管理、認(rèn)證系統(tǒng)，而問題由此產(chǎn)生。

一位長期從事信息安全工作的專業(yè)人士告訴記者，目前，幾乎所有酒店都有Wi-Fi覆蓋。為了保證實(shí)名上網(wǎng)，在酒店上Wi-Fi需要身份驗(yàn)證。這些信息都要匯總給提供Wi-Fi服務(wù)的網(wǎng)絡(luò)公司。

漏洞的根源在于慧達(dá)驛站公司管理機(jī)制不完善，其系統(tǒng)要求酒店在提交入住記錄時(shí)進(jìn)行網(wǎng)頁認(rèn)證，但不是在酒店服務(wù)器上，而是要通過浙江慧達(dá)驛站公司自己的服務(wù)器，于是后者就存下了客戶的信息。

浙江慧達(dá)驛站公司在服務(wù)器上實(shí)時(shí)存儲了酒店客戶的信息，并允許相關(guān)對象或需求方下載、讀取。盡管設(shè)有密碼驗(yàn)證，但客戶信息在數(shù)據(jù)同步傳輸時(shí)所使用的認(rèn)證用戶名、密碼都是明文傳輸，即在密碼驗(yàn)證過程中未對傳輸數(shù)據(jù)加密，而這很容易導(dǎo)致黑客截獲明文密碼，然后憑借這個(gè)密碼下載酒店用戶數(shù)據(jù)。

無線網(wǎng)架設(shè)投入大 故選第三方服務(wù)

北京某網(wǎng)絡(luò)安全公司經(jīng)理白先生表示，酒店內(nèi)的Wi-Fi覆蓋是隨著酒店業(yè)發(fā)展而興起的一項(xiàng)常規(guī)服務(wù)。

無線網(wǎng)的架設(shè)需要基站，但投入成本過大，還需要專人維護(hù)。在這種情況下，很多酒店選擇和網(wǎng)絡(luò)服務(wù)商合作，由網(wǎng)絡(luò)服務(wù)商來提供無線網(wǎng)絡(luò)服務(wù)及服務(wù)器。

白經(jīng)理認(rèn)為，直接讓第三方公司來管理酒店客戶信息，本身就增加了泄密的可能性。從信息安全角度出發(fā)，酒店如果選擇第三方服務(wù)的方式，就應(yīng)提高合作準(zhǔn)入門檻。

涉案酒店 被指缺數(shù)據(jù)保護(hù)措施

在白經(jīng)理看來，2000萬開房信息泄漏事件說明我國酒店行業(yè)的數(shù)據(jù)管理還不太成熟。

從事信息安全工作的專業(yè)人士告訴記者，如今很多酒店都在忙著跑馬圈地，但忽略了入住客戶個(gè)人信息的管理。

他給企業(yè)做信息安全培訓(xùn)時(shí)曾明顯感到，企業(yè)負(fù)責(zé)人往往只關(guān)注企業(yè)自身的財(cái)務(wù)信息安全，而對維護(hù)其他方面的信息安全十分不屑。

該人士表示，眾多酒店的安全隱患排除工作做得不到位，在個(gè)人信息數(shù)據(jù)保護(hù)上缺乏管理措施，是釀成信息安全事件的關(guān)鍵。

使用了浙江慧達(dá)驛站公司W(wǎng)i-Fi管理、認(rèn)證系統(tǒng)的酒店，客戶在接入Wi-Fi時(shí)，需要登錄浙江慧達(dá)驛站公司的服務(wù)器進(jìn)行網(wǎng)頁認(rèn)證。

該人士稱，由于系統(tǒng)設(shè)計(jì)缺陷，導(dǎo)致客戶信息很容易被竊取。

該人士表示，如果涉事酒店能對上傳的客戶信息有嚴(yán)格的管理權(quán)限措施，就能避免事件發(fā)生。

“比如，在銀行業(yè)，一段18個(gè)字符的權(quán)限操作密碼會由3個(gè)人分段管理，每個(gè)人只知道自己掌控的那6個(gè)字符。需要操作系統(tǒng)時(shí)，這3個(gè)人先分別輸入自己掌握的密碼部分，驗(yàn)證成功后再由不掌握密碼字符的其他人進(jìn)行操作。”他說，雖然這樣做很繁瑣，但足可以保證信息安全。

業(yè)內(nèi)說法 泄露事件 或影響酒店業(yè)信譽(yù)度

北京某四星級酒店客服部主管孫田(化名)向《法制晚報(bào)》記者表示，即使酒店客人不使用Wi-Fi，也必須登記詳細(xì)的客戶信息。

《旅館業(yè)治安管理辦法》第六條規(guī)定，旅館接待旅客住宿必須登記。以前，登記方式是前臺人員手寫登記，如今都是通過電腦錄入方式登記，酒店的服務(wù)器就會把這些信息存儲下來。登記后，客人信息會迅速傳遞給屬地派出所，方便公安機(jī)關(guān)工作。

作為在酒店行業(yè)工作多年的“老人兒”，他對此事件深表擔(dān)憂。他認(rèn)為，2000萬入住酒店客戶信息泄露事件，會影響到整個(gè)酒店業(yè)的信譽(yù)度。

孫田認(rèn)為，酒店要從思想上重視住店客人的個(gè)人信息保護(hù)，酒店應(yīng)承擔(dān)起個(gè)人信息管理工作，投入財(cái)力，完善管理系統(tǒng)。

文/記者 毛占宇 實(shí)習(xí)生 謝伯祺