隨著移動互聯(lián)網(wǎng)的普及，O2O(Online To Offline，即將線下商務(wù)與互聯(lián)網(wǎng)結(jié)合在一起)的概念也越來越風靡，而如今這個潮流也蔓延到了個人隱私泄露的問題上，個人信息的泄露開始有O2O的苗頭。

WiFi漏洞致泄露“天機”

據(jù)烏云平臺透露，困擾酒店行業(yè)的漏洞早在8月份就已經(jīng)被發(fā)現(xiàn)并確認，隨后按照標準流程通知廠商，并逐步向?qū)＜液图夹g(shù)人員公開。該漏洞發(fā)現(xiàn)者稱，如家、漢庭、咸陽國貿(mào)大酒店、杭州維景國際大酒店、驛家365快捷酒店、東莞虎門東方索菲特酒店全部或者部分使用了浙江慧達驛站網(wǎng)絡(luò)有限公司開發(fā)的酒店WiFi管理、認證管理系統(tǒng)，而慧達驛站在其服務(wù)器上實時存儲了這些酒店客戶的記錄，包括客戶名、身份證號、開房日期、房間號等大量敏感、隱私信息。而從技術(shù)角度上看，這些信息是可以被黑客拿到的。

針對烏云平臺披露的信息，慧達驛站通過網(wǎng)站公告回應(yīng)，承認烏云平臺所指出的安全隱患，但聲稱已完成軟件系統(tǒng)的全面升級。公告稱，慧達驛站的無線門戶認證系統(tǒng)存在信息安全加密等級較低的問題，有信息泄漏的安全隱患，慧達驛站的技術(shù)團隊針對現(xiàn)有無線門戶認證系統(tǒng)已完成全面升級。此前，媒體的相關(guān)報道中曾展示出一份住客信息被泄密截屏。對此，慧達驛站則回應(yīng)稱，“截屏中的住客信息未發(fā)生泄密情況，截屏信息是相關(guān)機構(gòu)作為技術(shù)驗證漏洞的展示?！蓖瑫r，慧達驛站強調(diào)，“有關(guān)無線門戶系統(tǒng)的安全性問題，是慧達驛站的責任，與任何酒店客戶無關(guān)?！?/span>

據(jù)安全業(yè)內(nèi)人士透露，慧達驛站的無線認證系統(tǒng)要求酒店在提交開放記錄的時候進行網(wǎng)頁認證，但不是在酒店服務(wù)器上，而要通過慧達驛站自己的服務(wù)器，理所當然地就存下了客戶的信息。而與之合作的酒店其住戶信息就集中存放在了慧達驛站的服務(wù)器上。另外，客戶信息的數(shù)據(jù)同步是通過http協(xié)議實現(xiàn)的，需要認證，但是認證用戶名、密碼竟然是明文傳輸?shù)?，從各個途徑都可能被輕松嗅探到，用這個認證信息就可以從慧達驛站的數(shù)據(jù)服務(wù)器上獲得所有酒店上傳的客戶開房信息。這也是住戶信息泄露的主要原因。至于其中有沒有人為泄露的因素，公安機關(guān)方面表示尚在調(diào)查中。

“開房”記錄人人可查

本來酒店入住記錄存在泄露的可能已經(jīng)讓不少人心驚膽戰(zhàn)，而這些重要的資料直接被泄露于互聯(lián)網(wǎng)并可供所有人查閱則無疑讓本次泄露事件火上加油。據(jù)南方日報記者了解到，實名認證的新浪微博賬戶@股社區(qū)發(fā)布了一個名為“查開房”的網(wǎng)址，據(jù)介紹，該網(wǎng)站界面雖然很簡陋，只有兩個查詢框，但經(jīng)過驗證，只需輸入姓名或身份證號，即可查詢到包括身份證號、生日、地址、手機號、郵箱、公司、登記日期等詳細的個人資料。在@股社區(qū)的微博評論中，多位網(wǎng)友聲稱，經(jīng)實測后，查詢到了自己或身邊朋友的信息，只是部分數(shù)據(jù)并不完整。

針對“查開房”網(wǎng)站，慧達驛站公司表示，日前已發(fā)現(xiàn)該網(wǎng)站，經(jīng)查該網(wǎng)站“是個會員數(shù)據(jù)庫”，與其無關(guān)，并稱不方便透露泄露來源?！斑@個數(shù)據(jù)庫，與此前烏云平臺關(guān)于酒店開房信息被泄露報告中的數(shù)據(jù)庫，是兩個數(shù)據(jù)庫，明眼人一看就知道?！被圻_驛站公司的發(fā)言人這樣表示。而被指涉及泄露信息的漢庭連鎖酒店表示，技術(shù)部門日前已發(fā)現(xiàn)該網(wǎng)站，并且已經(jīng)排除數(shù)據(jù)庫來自漢庭的可能性。7天連鎖酒店、錦江之星連鎖酒店也表示，將針對“查開房”網(wǎng)一事進行調(diào)查。據(jù)悉，由于“查開房”網(wǎng)站并沒有得到工商部門頒發(fā)的營運牌照，在公安機關(guān)介入調(diào)查后，該網(wǎng)站日前已經(jīng)被屏蔽，無法訪問。

雖然如今“查開房”網(wǎng)站已經(jīng)被查封，但是據(jù)網(wǎng)友向南方日報記者爆料，在淘寶網(wǎng)上已經(jīng)有賣家在販賣相關(guān)的個人信息。南方日報記者在淘寶網(wǎng)輸入“開房信息”后，竟然可以查到名稱為“開房信息，大型酒店必備客源”的“寶貝”。其中“開房信息”商品標價2000元，標注大小為7G。而隨后更有網(wǎng)友曝光了2000萬條的開房數(shù)據(jù)，并對其進行了細致的統(tǒng)計分析。據(jù)最新的消息顯示，淘寶網(wǎng)上的相關(guān)商品也已經(jīng)下架。但有互聯(lián)網(wǎng)領(lǐng)域安全專家表示，以互聯(lián)網(wǎng)的傳播速度，至今早已經(jīng)有不計其數(shù)的數(shù)據(jù)拷貝版本在各種網(wǎng)盤和分享鏈接中。

商家應(yīng)強化客戶隱私保護機制

針對本次酒店WiFi問題導(dǎo)致的個人信息泄露，本報記者采訪了360安全專家安楊。對于酒店WiFi搭設(shè)的現(xiàn)狀，安楊認為，部分酒店有自建的WiFi系統(tǒng)，但大部分酒店采用第三方解決方案，因為只需要接入即可，比較快捷方便。而此次烏云曝光的第三方存儲泄露事件，從網(wǎng)上披露的信息分析，是由于用戶連接酒店WiFi時，需要輸入自己的個人資料，并提交到第三方系統(tǒng)上進行身份驗證(以免他人蹭網(wǎng))造成的：“第三方系統(tǒng)存在漏洞，管理賬戶和密碼通過明文傳遞，因此黑客可以通過嗅探攻擊拿到密碼，入侵第三方系統(tǒng)獲取到了酒店客戶的隱私信息?！?/span>

那么酒店應(yīng)該怎樣做才能保護好客戶的隱私呢？安楊認為：“對于自建系統(tǒng)，要注意系統(tǒng)安全建設(shè)，對軟件和路由器漏洞及時進行修復(fù)。對于使用第三方服務(wù)的，酒店需要強化客戶隱私保護機制，明確什么信息能傳給第三方服務(wù)器，什么信息不能傳，什么信息需要加密等等，在選購和建設(shè)時要溝通充分”。對于像慧達驛站這樣的第三方系統(tǒng)，安楊認為，首先要明確用于驗證等功能需要的信息有哪些，不越界，不請求涉及客戶信息的內(nèi)容；其次數(shù)據(jù)傳輸過程要加密，不能明文傳輸，同時重視系統(tǒng)安全性，定期檢測和修復(fù)漏洞。

開放的WiFi信號就像一個廣場

隨著智能終端的不斷普及，用戶對上網(wǎng)的需求也日趨明顯，而借助WiFi也成為了不少移動終端用戶的首選，但是越來越普遍的WiFi鏈接，也開始引發(fā)了安全性方面的隱患。

據(jù)資料顯示，WiFi的通信標準于2009年制定，但由于無線信號的分散性的特點，使得開放的WiFi信號就像一個廣場，安全性并不能令人滿意。其中免費無線網(wǎng)絡(luò)更是安全問題的重災(zāi)區(qū)。早在2012年2月，就有黑客自曝在星巴克、肯德基這些提供免費無線網(wǎng)絡(luò)的公共場合，用一臺筆記本電腦、一套無線網(wǎng)絡(luò)設(shè)備以及一個網(wǎng)絡(luò)包分析軟件，可以搭建一個免費的偽造無線網(wǎng)絡(luò)，名稱為KFC、GMCC、Starbucks2等，不明真相的用戶不需要密碼就能馬上登錄，但一旦用戶連接該無線網(wǎng)絡(luò)信號后，黑客在15分鐘之內(nèi)就可以竊取上網(wǎng)用戶的個人信息和密碼。如果上網(wǎng)用戶進行了網(wǎng)上交易操作，包括網(wǎng)銀賬號密碼、炒股賬號密碼在內(nèi)的數(shù)據(jù)也一律會被黑客拿下。

據(jù)互聯(lián)網(wǎng)安全專家表示，這實際上是局域網(wǎng)內(nèi)一種中間人攻擊，這種攻擊手段早在2001年就已經(jīng)有非常成熟的工具，而且非常簡單。對于網(wǎng)絡(luò)傳輸中非加密的數(shù)據(jù)(比如登錄微博、一些郵箱)，很容易導(dǎo)致密碼的泄漏，而日常上網(wǎng)中的大多數(shù)操作都是沒有加密的。同時，發(fā)起攻擊的黑客甚至可以植入一段惡意的代碼以達到其目的。像電影中利用竊聽程序獲取手機用戶的通話內(nèi)容，并不是危言聳聽。

加密無線網(wǎng)絡(luò)也有漏洞

隨著技術(shù)的進步和用戶使用習(xí)慣的改變，即使加密的無線網(wǎng)絡(luò)也開始出現(xiàn)漏洞。在今年九月，當小米手機推出的“WiFi分享”新功能時則引起了行業(yè)的熱議和質(zhì)疑。據(jù)介紹，小米系統(tǒng)的WiFi分享功能能夠在小米用戶進入有WiFi信號覆蓋的公共場所(如咖啡廳)時，選擇一鍵“分享網(wǎng)絡(luò)密碼”，讓其他小米用戶直接連上加密的WiFi。根據(jù)小米公司的數(shù)據(jù)顯示，小米服務(wù)器上存儲的公共場所WiFi密碼達到32萬個。

小米CEO雷軍表示，該功能是為免去用戶再次輸入密碼的麻煩，假設(shè)幾個朋友到咖啡廳，只要其中一個人向服務(wù)員索要WiFi密碼，其他人就都能連接上。就此功能不少商家和安全專家都公開表示了反對，從資源利用的層面來說，這種行為無疑是在鼓勵用戶“蹭網(wǎng)”，雖然有一定的便利性，但卻會使得商家的利益受到侵害。而熱點分享之后，同時在線人數(shù)激增，會增加公共WiFi的帶寬壓力，造成網(wǎng)絡(luò)堵塞，影響上網(wǎng)體驗。更重要的是，這種隨意的網(wǎng)絡(luò)共享會造成整個局域網(wǎng)內(nèi)安全性的下降。雖然小米自稱只是分享公共場所如咖啡廳的加密密碼，但許多人擔心如果企業(yè)WiFi網(wǎng)絡(luò)密碼被分享會成為潛在的安全隱患。迫于壓力，小米方面已經(jīng)叫停了該功能的上線，并刪除了服務(wù)器上保存的大量公共WiFi密碼。

河南億恩科技股份有限公司(www.allwellnessguide.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認定的綜合電信服務(wù)運營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機 24小時售后服務(wù)電話：0371-60135900
虛擬主機/智能建站 24小時售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話：0371-60135995
服務(wù)熱線：0371-60135900