【编者按】如家被暴库时间,本身与如家后台数据库无关。但如家所使用的WIFI认证系统,在认证过程中会以明码方式存储在第三方服务器上,安全漏洞即在于此。
如家今日回复腾讯财经承认使用涉事公司浙江慧达驿站网络有限公司的无线信息技术服务,并表示在得知相关信息后,第一时间对漏洞进行了检查,并迅速修复。
如家还表示,将与无线信息技术服务供应商以及第三方安全监测机构加强合作,建立长效监测机制,提升和加强信息安全的管理。
而报告中提到的华住酒店(汉庭更名后新名称)昨日晚间则对腾讯财经表示旗下酒店并未使用慧达驿站开发的酒店Wi-Fi管理、认证管理系统。
慧达驿站今日亦在其官方声明中强调,公司的无线门户业务领域与汉庭酒店确实没有合作关系。在该声明中,慧达驿站还用红字突出,此次“有关无线门户系统的安全性问题,是慧达驿站的责任,与任何酒店客户无关。”
根据慧达驿站的官方声明,其系统的确存在漏洞:“经查证,无线门户系统存在信息安全加密等级较低问题,有信息泄漏的安全隐患,慧达驿站的技术团队针对现有无线门户认证系统已完成全面升级。”
对于文中所述被泄露客户数据一事,慧达驿站强调,截屏中的住客信息未发生泄密情况,这个截屏信息只是相关机构即乌云作为技术验证漏洞的展示而已。
此前安全漏洞监测平台乌云(WooYun.org)报告称,慧达的WIFI系统要求客户在登入无线网络时进行网页认证,需上传住客的实名信息。包括客户名、开房日期、房间号在内的敏感信息会在慧达的服务器上实时存储。由于其认证用户名跟密码是明文传输,各个途径都可能被黑客嗅探到并遭到泄露。
乌云的这份报告中,还将如家酒店作为典型,通过截屏的形式,披露了如家的一部分开房记录,里面包含了详细的客户姓名、身份证号码等等。
