驱动之家2013:年度十大业界新闻
  • 朝晖
  • 2013年12月31日 16:25
  • 0

四、全民“查开房”:网站“死去又活来”

如今,个人信息在网络上泄露已经不是什么新鲜事儿,诸如电话号码、家庭住址稍不注意就会被一些无良快递、商家卖出去。可如果仅凭身份证号码/姓名/手机号就能查到你的开房记录,相信还是能惊到不少人吧。这事儿,今年就发生了

今年10月5日,国内安全漏洞监测平台乌云(WooYun.org)发布报告,称如家、汉庭等大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。随后一份所谓的泄露名单在网络上疯狂流传,内含高达2000W数据,数据包含受害人姓名、身份证号、性别、出生年月日、手机号及注册邮箱在内的详细个人信息。该消息一出立马在国内炸开了锅,泄露的数据在各大论坛、微博、微信等各种渠道转发,下载量也是不断猛增。

此外,网上还出现了根据此数据库制作的在线查询网站,输入身份证号、姓名、手机号等均可检索出一定的数据,而且与受害人的个人信息完全吻合。不仅普通网友,就连在信息安全行业工作10多年信息安全讲师也成为受害对象。一时间“查开房”成为热词,不少人表示“躺枪”,惊呼后脊梁“直冒冷汗”。

根据乌云报告的描述,该漏洞早在8月份就已经被发现并确认,随后按照标准流程通知厂商,并逐步向专家和技术人员公开,到10月份才将漏洞细节公之于众,也交给了CNCERT国家互联网应急中心进行处理。但是,结果因为某种原因,这些信息被黑客拿到。

漏洞发现者称,如家、汉庭、7天、速8、格林豪泰等一批知名连锁酒店,以及咸阳国贸、杭州维景国际、东莞虎门东方索菲特等星级酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记录,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。

乌云漏洞报告平台是一个第三方网站漏洞监测网站,民间的互联网安全研究者用户可以在线提交发现的网站安全漏洞,企业用户也可通过该平台获知自己网站的漏洞。该网站负责人透露,10月份网络上可查询到的泄露数据在今年5至6月期间就已被人获取并开始在地下传播,但该人并未通过乌云检测平台提交给出现漏洞的厂商,而是在黑客圈进行了分享,根据网友分享的截图,解压缩后发现数据文件修改时间为2013年6月27日。而对于数据泄露的源头,则无从查证

不过,漏洞的根源还是在于慧达驿站公司管理机制的不完善,因为他们的系统要求酒店在提交开放记录的时候进行网页认证,但不是在酒店服务器上,而要通过慧达驿站自己的服务器,理所当然地就存下了客户的信息。

另外,客户信息的数据同步是通过http协议实现的,需要认证,但是认证用户名、密码竟然是明文传输的,各个途径都可能被轻松嗅探到,用这个认证信息就可以从他们数据服务器上获得所有酒店上传的客户开房信息。

对此,如家等部分酒店当时进行了回应,确认报告中所指的慧达驿站网络有限公司是其无线网络服务供应商,并称在看到乌云发布的报告之后,酒店方面立即与供应商沟通,已经修复了这个漏洞,并推出安全程序。此外,慧达驿站公司表示,已经发现了“查开房”网站,网络110已将该网站屏蔽。

然而,就在几天之后,“查开房”网站再次“复活”。打着不同名号、提供类似服务的网站陆续出现,在主页名为“开房数据查询”的网站上,网友输入姓名、手机或邮箱就可以开始查询。由于影响范围较广而且极为恶劣,国家互联网应急中心就此事展开调查。

目前,通过正常渠道已经无法搜索到“查开房”,“开房数据库”的下载链接也均已失效。不过,IT业内人士表示,只要该数据库在网络上流传过,就不可能彻底将其封杀,更不可能追溯其源头究竟是谁。虽然目前绝大部分链接已经失效,但保守估计,之前的下载量至少达数百万人次,而且不少人将数据库拷贝在本地电脑或网盘上。一旦风头过了,该数据库很可能重新出现在网络上,数据库涉及的个人隐私依旧有可能被泄露

安全人士指出,我国网络安全现状确实不容乐观,掌握大量个人信息的一些单位、网站疏于管理,导致相关单位的电脑网络被黑客入侵,或一些工作人员利用职务之便故意为之,大量公民个人信息经过多个渠道流传。往往是黑客入侵下载的数据库在黑客圈流传数月之后才会为外人所知,其他非法途径泄露的信息就更加不透明。网民只知道自己的个人信息泄露了,通过哪些渠道泄露的,却无从查起。“查开房”仅仅是冰山一角,现在传统行业纷纷渗入互联网拓展业务,但是在网络安全方面重视程度太低。数据泄露的情况不出意外会蔓延到医疗、电子购物等领域。

专家建议,对于达不到保密要求、存在技术漏洞的企业,应该出台相应的技术保密规范和惩罚机制。在此事件中,应主要追究酒店本身和网络技术公司的责任,如可以降级或降低其资质。同时,补救措施要跟进,一旦出现信息泄露,要用网络技术手段弥补,最低限度减少风险。此外,对传播大量公民个人信息、利用泄露信息从事违法犯罪活动的行为进行严厉打击。

“查开房”的风波暂时偃旗息鼓,但从不少网友的反应来看,中招的叫苦连天,没中招的更像是在看一场笑话,甚至为了娱乐推波助澜。虽然我国的信息安全法律还不健全,但我们至少要做到不传播、不分享。或许,当公众不在以“看热闹”的心态看待诸如“查开房”此类的事件,才意味着将个人信息泄露的危害性真正的重视起来

驱动之家2013:年度十大业界新闻


文章纠错

  • 好文点赞
  • 水文反对

此文章为快科技原创文章,快科技网站保留文章图片及文字内容版权,如需转载此文章请注明出处:快科技

观点发布 网站评论、账号管理说明
热门评论
查看全部评论
相关报道

最热文章排行查看排行详情

邮件订阅

评论0 | 点赞0| 分享0 | 收藏0