|
【PConline 资讯】10月9日消息,据国内安全漏洞监测平台乌云(WooYun.org)发布报告称,如家/汉庭等酒店客户开放记录被第三方存储并因漏洞导致泄露,涉及相关厂商为浙江某网络有限公司。
据乌云报告,该漏洞早在8月下旬即已发现并确认,随后即通知了厂商,经厂商确认后,相关细节即向相关领域专家公开,最终向公众公开。 据介绍,如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用了浙江某网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而某公司在其服务器上实时存储了这些酒店客户的记录,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。目前,因为漏洞原因,这些开房客户信息被泄露,同时泄露的还有一些SQL查询语句等。 乌云认为,该漏洞主要在于某公司管理机制的不完善,用户连接酒店的开放wifi时,需要通过网页认证,而该认证并非在酒店服务器上完成,而是在某公司的服务器上完成,因此该服务器记录了开房者的客户信息。此外,客户信息的数据同步是通过http协议实现的,需要认证,但认证用户名跟密码都是明文传输的,各个途径都可能被嗅探到,然后用这个认证信息,即可从某公司的数据服务器上获得所有酒店上传的客户开房信息。
对于该漏洞,乌云也提出了修复方案:即数据同步选择私有协议,换成https都可以。出于某些特殊需要开房的客户,你颤抖了吗?
|
正在阅读:开房需谨慎!如家汉庭等酒店开房信息泄露开房需谨慎!如家汉庭等酒店开房信息泄露
2013-10-09 10:44
出处:PConline原创
责任编辑:lihongyu
