隨著移動(dòng)互聯(lián)網(wǎng)的普及，O2O(Online To Offline，即將線下商務(wù)與互聯(lián)網(wǎng)結(jié)合在一起)的概念也越來越風(fēng)靡，而如今這個(gè)潮流也蔓延到了個(gè)人隱私泄露的問題上，個(gè)人信息的泄露開始有O2O的苗頭。

WiFi漏洞致泄露“天機(jī)”

據(jù)烏云平臺(tái)透露，困擾酒店行業(yè)的漏洞早在8月份就已經(jīng)被發(fā)現(xiàn)并確認(rèn)，隨后按照標(biāo)準(zhǔn)流程通知廠商，并逐步向?qū)＜液图夹g(shù)人員公開。該漏洞發(fā)現(xiàn)者稱，如家、漢庭、咸陽(yáng)國(guó)貿(mào)大酒店、杭州維景國(guó)際大酒店、驛家365快捷酒店、東莞虎門東方索菲特酒店全部或者部分使用了浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司開發(fā)的酒店WiFi管理、認(rèn)證管理系統(tǒng)，而慧達(dá)驛站在其服務(wù)器上實(shí)時(shí)存儲(chǔ)了這些酒店客戶的記錄，包括客戶名、身份證號(hào)、開房日期、房間號(hào)等大量敏感、隱私信息。而從技術(shù)角度上看，這些信息是可以被黑客拿到的。

針對(duì)烏云平臺(tái)披露的信息，慧達(dá)驛站通過網(wǎng)站公告回應(yīng)，承認(rèn)烏云平臺(tái)所指出的安全隱患，但聲稱已完成軟件系統(tǒng)的全面升級(jí)。公告稱，慧達(dá)驛站的無線門戶認(rèn)證系統(tǒng)存在信息安全加密等級(jí)較低的問題，有信息泄漏的安全隱患，慧達(dá)驛站的技術(shù)團(tuán)隊(duì)針對(duì)現(xiàn)有無線門戶認(rèn)證系統(tǒng)已完成全面升級(jí)。此前，媒體的相關(guān)報(bào)道中曾展示出一份住客信息被泄密截屏。對(duì)此，慧達(dá)驛站則回應(yīng)稱，“截屏中的住客信息未發(fā)生泄密情況，截屏信息是相關(guān)機(jī)構(gòu)作為技術(shù)驗(yàn)證漏洞的展示。”同時(shí)，慧達(dá)驛站強(qiáng)調(diào)，“有關(guān)無線門戶系統(tǒng)的安全性問題，是慧達(dá)驛站的責(zé)任，與任何酒店客戶無關(guān)。”

據(jù)安全業(yè)內(nèi)人士透露，慧達(dá)驛站的無線認(rèn)證系統(tǒng)要求酒店在提交開放記錄的時(shí)候進(jìn)行網(wǎng)頁(yè)認(rèn)證，但不是在酒店服務(wù)器上，而要通過慧達(dá)驛站自己的服務(wù)器，理所當(dāng)然地就存下了客戶的信息。而與之合作的酒店其住戶信息就集中存放在了慧達(dá)驛站的服務(wù)器上。另外，客戶信息的數(shù)據(jù)同步是通過http協(xié)議實(shí)現(xiàn)的，需要認(rèn)證，但是認(rèn)證用戶名、密碼竟然是明文傳輸?shù)模瑥母鱾€(gè)途徑都可能被輕松嗅探到，用這個(gè)認(rèn)證信息就可以從慧達(dá)驛站的數(shù)據(jù)服務(wù)器上獲得所有酒店上傳的客戶開房信息。這也是住戶信息泄露的主要原因。至于其中有沒有人為泄露的因素，公安機(jī)關(guān)方面表示尚在調(diào)查中。

“開房”記錄人人可查

本來酒店入住記錄存在泄露的可能已經(jīng)讓不少人心驚膽戰(zhàn)，而這些重要的資料直接被泄露于互聯(lián)網(wǎng)并可供所有人查閱則無疑讓本次泄露事件火上加油。據(jù)南方日?qǐng)?bào)記者了解到，實(shí)名認(rèn)證的新浪微博賬戶@股社區(qū)發(fā)布了一個(gè)名為“查開房”的網(wǎng)址，據(jù)介紹，該網(wǎng)站界面雖然很簡(jiǎn)陋，只有兩個(gè)查詢框，但經(jīng)過驗(yàn)證，只需輸入姓名或身份證號(hào)，即可查詢到包括身份證號(hào)、生日、地址、手機(jī)號(hào)、郵箱、公司、登記日期等詳細(xì)的個(gè)人資料。在@股社區(qū)的微博評(píng)論中，多位網(wǎng)友聲稱，經(jīng)實(shí)測(cè)后，查詢到了自己或身邊朋友的信息，只是部分?jǐn)?shù)據(jù)并不完整。

針對(duì)“查開房”網(wǎng)站，慧達(dá)驛站公司表示，日前已發(fā)現(xiàn)該網(wǎng)站，經(jīng)查該網(wǎng)站“是個(gè)會(huì)員數(shù)據(jù)庫(kù)”，與其無關(guān)，并稱不方便透露泄露來源。“這個(gè)數(shù)據(jù)庫(kù)，與此前烏云平臺(tái)關(guān)于酒店開房信息被泄露報(bào)告中的數(shù)據(jù)庫(kù)，是兩個(gè)數(shù)據(jù)庫(kù)，明眼人一看就知道。”慧達(dá)驛站公司的發(fā)言人這樣表示。而被指涉及泄露信息的漢庭連鎖酒店表示，技術(shù)部門日前已發(fā)現(xiàn)該網(wǎng)站，并且已經(jīng)排除數(shù)據(jù)庫(kù)來自漢庭的可能性。7天連鎖酒店、錦江之星連鎖酒店也表示，將針對(duì)“查開房”網(wǎng)一事進(jìn)行調(diào)查。據(jù)悉，由于“查開房”網(wǎng)站并沒有得到工商部門頒發(fā)的營(yíng)運(yùn)牌照，在公安機(jī)關(guān)介入調(diào)查后，該網(wǎng)站日前已經(jīng)被屏蔽，無法訪問。

雖然如今“查開房”網(wǎng)站已經(jīng)被查封，但是據(jù)網(wǎng)友向南方日?qǐng)?bào)記者爆料，在淘寶網(wǎng)上已經(jīng)有賣家在販賣相關(guān)的個(gè)人信息。南方日?qǐng)?bào)記者在淘寶網(wǎng)輸入“開房信息”后，竟然可以查到名稱為“開房信息，大型酒店必備客源”的“寶貝”。其中“開房信息”商品標(biāo)價(jià)2000元，標(biāo)注大小為7G。而隨后更有網(wǎng)友曝光了2000萬條的開房數(shù)據(jù)，并對(duì)其進(jìn)行了細(xì)致的統(tǒng)計(jì)分析。據(jù)最新的消息顯示，淘寶網(wǎng)上的相關(guān)商品也已經(jīng)下架。但有互聯(lián)網(wǎng)領(lǐng)域安全專家表示，以互聯(lián)網(wǎng)的傳播速度，至今早已經(jīng)有不計(jì)其數(shù)的數(shù)據(jù)拷貝版本在各種網(wǎng)盤和分享鏈接中。

商家應(yīng)強(qiáng)化客戶隱私保護(hù)機(jī)制

針對(duì)本次酒店WiFi問題導(dǎo)致的個(gè)人信息泄露，本報(bào)記者采訪了360安全專家安楊。對(duì)于酒店WiFi搭設(shè)的現(xiàn)狀，安楊認(rèn)為，部分酒店有自建的WiFi系統(tǒng)，但大部分酒店采用第三方解決方案，因?yàn)橹恍枰尤爰纯桑容^快捷方便。而此次烏云曝光的第三方存儲(chǔ)泄露事件，從網(wǎng)上披露的信息分析，是由于用戶連接酒店WiFi時(shí)，需要輸入自己的個(gè)人資料，并提交到第三方系統(tǒng)上進(jìn)行身份驗(yàn)證(以免他人蹭網(wǎng))造成的：“第三方系統(tǒng)存在漏洞，管理賬戶和密碼通過明文傳遞，因此黑客可以通過嗅探攻擊拿到密碼，入侵第三方系統(tǒng)獲取到了酒店客戶的隱私信息。”

那么酒店應(yīng)該怎樣做才能保護(hù)好客戶的隱私呢？安楊認(rèn)為：“對(duì)于自建系統(tǒng)，要注意系統(tǒng)安全建設(shè)，對(duì)軟件和路由器漏洞及時(shí)進(jìn)行修復(fù)。對(duì)于使用第三方服務(wù)的，酒店需要強(qiáng)化客戶隱私保護(hù)機(jī)制，明確什么信息能傳給第三方服務(wù)器，什么信息不能傳，什么信息需要加密等等，在選購(gòu)和建設(shè)時(shí)要溝通充分”。對(duì)于像慧達(dá)驛站這樣的第三方系統(tǒng)，安楊認(rèn)為，首先要明確用于驗(yàn)證等功能需要的信息有哪些，不越界，不請(qǐng)求涉及客戶信息的內(nèi)容；其次數(shù)據(jù)傳輸過程要加密，不能明文傳輸，同時(shí)重視系統(tǒng)安全性，定期檢測(cè)和修復(fù)漏洞。

開放的WiFi信號(hào)就像一個(gè)廣場(chǎng)

隨著智能終端的不斷普及，用戶對(duì)上網(wǎng)的需求也日趨明顯，而借助WiFi也成為了不少移動(dòng)終端用戶的首選，但是越來越普遍的WiFi鏈接，也開始引發(fā)了安全性方面的隱患。

據(jù)資料顯示，WiFi的通信標(biāo)準(zhǔn)于2009年制定，但由于無線信號(hào)的分散性的特點(diǎn)，使得開放的WiFi信號(hào)就像一個(gè)廣場(chǎng)，安全性并不能令人滿意。其中免費(fèi)無線網(wǎng)絡(luò)更是安全問題的重災(zāi)區(qū)。早在2012年2月，就有黑客自曝在星巴克、肯德基這些提供免費(fèi)無線網(wǎng)絡(luò)的公共場(chǎng)合，用一臺(tái)筆記本電腦、一套無線網(wǎng)絡(luò)設(shè)備以及一個(gè)網(wǎng)絡(luò)包分析軟件，可以搭建一個(gè)免費(fèi)的偽造無線網(wǎng)絡(luò)，名稱為KFC、GMCC、Starbucks2等，不明真相的用戶不需要密碼就能馬上登錄，但一旦用戶連接該無線網(wǎng)絡(luò)信號(hào)后，黑客在15分鐘之內(nèi)就可以竊取上網(wǎng)用戶的個(gè)人信息和密碼。如果上網(wǎng)用戶進(jìn)行了網(wǎng)上交易操作，包括網(wǎng)銀賬號(hào)密碼、炒股賬號(hào)密碼在內(nèi)的數(shù)據(jù)也一律會(huì)被黑客拿下。

據(jù)互聯(lián)網(wǎng)安全專家表示，這實(shí)際上是局域網(wǎng)內(nèi)一種中間人攻擊，這種攻擊手段早在2001年就已經(jīng)有非常成熟的工具，而且非常簡(jiǎn)單。對(duì)于網(wǎng)絡(luò)傳輸中非加密的數(shù)據(jù)(比如登錄微博、一些郵箱)，很容易導(dǎo)致密碼的泄漏，而日常上網(wǎng)中的大多數(shù)操作都是沒有加密的。同時(shí)，發(fā)起攻擊的黑客甚至可以植入一段惡意的代碼以達(dá)到其目的。像電影中利用竊聽程序獲取手機(jī)用戶的通話內(nèi)容，并不是危言聳聽。

加密無線網(wǎng)絡(luò)也有漏洞

隨著技術(shù)的進(jìn)步和用戶使用習(xí)慣的改變，即使加密的無線網(wǎng)絡(luò)也開始出現(xiàn)漏洞。在今年九月，當(dāng)小米手機(jī)推出的“WiFi分享”新功能時(shí)則引起了行業(yè)的熱議和質(zhì)疑。據(jù)介紹，小米系統(tǒng)的WiFi分享功能能夠在小米用戶進(jìn)入有WiFi信號(hào)覆蓋的公共場(chǎng)所(如咖啡廳)時(shí)，選擇一鍵“分享網(wǎng)絡(luò)密碼”，讓其他小米用戶直接連上加密的WiFi。根據(jù)小米公司的數(shù)據(jù)顯示，小米服務(wù)器上存儲(chǔ)的公共場(chǎng)所WiFi密碼達(dá)到32萬個(gè)。

小米CEO雷軍表示，該功能是為免去用戶再次輸入密碼的麻煩，假設(shè)幾個(gè)朋友到咖啡廳，只要其中一個(gè)人向服務(wù)員索要WiFi密碼，其他人就都能連接上。就此功能不少商家和安全專家都公開表示了反對(duì)，從資源利用的層面來說，這種行為無疑是在鼓勵(lì)用戶“蹭網(wǎng)”，雖然有一定的便利性，但卻會(huì)使得商家的利益受到侵害。而熱點(diǎn)分享之后，同時(shí)在線人數(shù)激增，會(huì)增加公共WiFi的帶寬壓力，造成網(wǎng)絡(luò)堵塞，影響上網(wǎng)體驗(yàn)。更重要的是，這種隨意的網(wǎng)絡(luò)共享會(huì)造成整個(gè)局域網(wǎng)內(nèi)安全性的下降。雖然小米自稱只是分享公共場(chǎng)所如咖啡廳的加密密碼，但許多人擔(dān)心如果企業(yè)WiFi網(wǎng)絡(luò)密碼被分享會(huì)成為潛在的安全隱患。迫于壓力，小米方面已經(jīng)叫停了該功能的上線，并刪除了服務(wù)器上保存的大量公共WiFi密碼。

河南億恩科技股份有限公司(m.czbl888.cn)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900