信息泄露-如家开房记录

信息泄露-如家开房记录

连锁酒店,难免涉及到使用网站还有服务器?但是有没有想过,当服务器储存的客户信息被泄露时,将会产生怎样的结果? […]

2013-10-12

连锁酒店,难免涉及到使用网站还有服务器?但是有没有想过,当服务器储存的客户信息被泄露时,将会产生怎样的结果?

酒店客户信息泄露

经媒体报道,如家、汉庭等大批酒店的开房记录因为漏洞而泄露,大量客户隐私被记录在第三方服务器上,而且这些信息可以被黑客拿到。
漏洞发现者称,如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记录,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。

漏洞根源在于第三方公司管理机制

漏洞的根源在于慧达驿站公司管理机制的不完善,因为他们的系统要求酒店在提交开放记录的时候进行网页认证,但不是在酒店服务器上,而要通过慧达驿站自己的服务器,理所当然地就存下了客户的信息。

另外,客户信息的数据同步是通过http协议实现的,需要认证,但是认证用户名、密码竟然是明文传输的,各个途径都可能被轻松嗅探到,用这个认证信息就可以从他们数据服务器上获得所有酒店上传的客户开房信息。
浙江慧达Wifi服务机构将所有用户信息储存在互联网上,尽管有密码的验证限制,但由于安全意识不足,在进行密码验证过程中并未对传输数据进行加密,导致任何第三方可以轻松截获到服务器传递的明文密码,“有了这个密码,就可下载该公司存储的酒店用户数据了。”

反思

在三亚也有不少酒店都有自己的酒店网站,三亚网站建设,认准米饭工作室,我们本着用户第一的原则,避免信息泄露的事情发生在我们的网站和服务器上。