由來
國內安全漏洞監測平台烏雲發布報告,稱如家、漢庭等大批酒店的開房記錄被第三方存儲,並且因為漏洞而泄露。
該漏洞早在8月份就已經被發現並確認,隨後按照標準流程通知廠商,並逐步向專家和技術人員公開,如今已將漏洞細節公之於眾,也交給了CNCERT國家網際網路應急中心進行處理。
根源
漏洞的根源在於慧達驛站公司管理機制的不完善,因為他們的系統要求酒店在提交開放記錄的時候進行網頁認證,但不是在酒店伺服器上,而要通過慧達驛站自己的伺服器,理所當然地就存下了客戶的信息。
另外,客戶信息的數據同步是通過http協定實現的,需要認證,但是認證用戶名、密碼竟然是明文傳輸的,各個途徑都可能被輕鬆嗅探到,用這個認證信息就可以從他們數據伺服器上獲得所有酒店上傳的客戶開房信息。
修復
2013年10月11日中午,慧達驛站市場部總監確認,確實存在漏洞,系該公司無線門戶系統信息安全加密等級較低導致。該公司已通過升級加密等級等措施修補漏洞。同時他稱,並未造成客戶開房記錄等個人信息實質意義上的泄露結果。