隨著移動互聯網的普及，O2O(Online To Offline，即將線下商務與互聯網結合在一起)的概念也越來越風靡，而如今這個潮流也蔓延到了個人隱私泄露的問題上，個人信息的泄露開始有O2O的苗頭。

WiFi漏洞致泄露“天機”

據烏云平臺透露，困擾酒店行業的漏洞早在8月份就已經被發現并確認，隨后按照標準流程通知廠商，并逐步向專家和技術人員公開。該漏洞發現者稱，如家、漢庭、咸陽國貿大酒店、杭州維景國際大酒店、驛家365快捷酒店、東莞虎門東方索菲特酒店全部或者部分使用了浙江慧達驛站網絡有限公司開發的酒店WiFi管理、認證管理系統，而慧達驛站在其服務器上實時存儲了這些酒店客戶的記錄，包括客戶名、身份證號、開房日期、房間號等大量敏感、隱私信息。而從技術角度上看，這些信息是可以被黑客拿到的。

針對烏云平臺披露的信息，慧達驛站通過網站公告回應，承認烏云平臺所指出的安全隱患，但聲稱已完成軟件系統的全面升級。公告稱，慧達驛站的無線門戶認證系統存在信息安全加密等級較低的問題，有信息泄漏的安全隱患，慧達驛站的技術團隊針對現有無線門戶認證系統已完成全面升級。此前，媒體的相關報道中曾展示出一份住客信息被泄密截屏。對此，慧達驛站則回應稱，“截屏中的住客信息未發生泄密情況，截屏信息是相關機構作為技術驗證漏洞的展示。”同時，慧達驛站強調，“有關無線門戶系統的安全性問題，是慧達驛站的責任，與任何酒店客戶無關。”

據安全業內人士透露，慧達驛站的無線認證系統要求酒店在提交開放記錄的時候進行網頁認證，但不是在酒店服務器上，而要通過慧達驛站自己的服務器，理所當然地就存下了客戶的信息。而與之合作的酒店其住戶信息就集中存放在了慧達驛站的服務器上。另外，客戶信息的數據同步是通過http協議實現的，需要認證，但是認證用戶名、密碼竟然是明文傳輸的，從各個途徑都可能被輕松嗅探到，用這個認證信息就可以從慧達驛站的數據服務器上獲得所有酒店上傳的客戶開房信息。這也是住戶信息泄露的主要原因。至于其中有沒有人為泄露的因素，公安機關方面表示尚在調查中。

“開房”記錄人人可查

本來酒店入住記錄存在泄露的可能已經讓不少人心驚膽戰，而這些重要的資料直接被泄露于互聯網并可供所有人查閱則無疑讓本次泄露事件火上加油。據南方日報記者了解到，實名認證的新浪微博賬戶@股社區發布了一個名為“查開房”的網址，據介紹，該網站界面雖然很簡陋，只有兩個查詢框，但經過驗證，只需輸入姓名或身份證號，即可查詢到包括身份證號、生日、地址、手機號、郵箱、公司、登記日期等詳細的個人資料。在@股社區的微博評論中，多位網友聲稱，經實測后，查詢到了自己或身邊朋友的信息，只是部分數據并不完整。

針對“查開房”網站，慧達驛站公司表示，日前已發現該網站，經查該網站“是個會員數據庫”，與其無關，并稱不方便透露泄露來源。“這個數據庫，與此前烏云平臺關于酒店開房信息被泄露報告中的數據庫，是兩個數據庫，明眼人一看就知道。”慧達驛站公司的發言人這樣表示。而被指涉及泄露信息的漢庭連鎖酒店表示，技術部門日前已發現該網站，并且已經排除數據庫來自漢庭的可能性。7天連鎖酒店、錦江之星連鎖酒店也表示，將針對“查開房”網一事進行調查。據悉，由于“查開房”網站并沒有得到工商部門頒發的營運牌照，在公安機關介入調查后，該網站日前已經被屏蔽，無法訪問。

雖然如今“查開房”網站已經被查封，但是據網友向南方日報記者爆料，在淘寶網上已經有賣家在販賣相關的個人信息。南方日報記者在淘寶網輸入“開房信息”后，竟然可以查到名稱為“開房信息，大型酒店必備客源”的“寶貝”。其中“開房信息”商品標價2000元，標注大小為7G。而隨后更有網友曝光了2000萬條的開房數據，并對其進行了細致的統計分析。據最新的消息顯示，淘寶網上的相關商品也已經下架。但有互聯網領域安全專家表示，以互聯網的傳播速度，至今早已經有不計其數的數據拷貝版本在各種網盤和分享鏈接中。

商家應強化客戶隱私保護機制

針對本次酒店WiFi問題導致的個人信息泄露，本報記者采訪了360安全專家安楊。對于酒店WiFi搭設的現狀，安楊認為，部分酒店有自建的WiFi系統，但大部分酒店采用第三方解決方案，因為只需要接入即可，比較快捷方便。而此次烏云曝光的第三方存儲泄露事件，從網上披露的信息分析，是由于用戶連接酒店WiFi時，需要輸入自己的個人資料，并提交到第三方系統上進行身份驗證(以免他人蹭網)造成的：“第三方系統存在漏洞，管理賬戶和密碼通過明文傳遞，因此黑客可以通過嗅探攻擊拿到密碼，入侵第三方系統獲取到了酒店客戶的隱私信息。”

那么酒店應該怎樣做才能保護好客戶的隱私呢？安楊認為：“對于自建系統，要注意系統安全建設，對軟件和路由器漏洞及時進行修復。對于使用第三方服務的，酒店需要強化客戶隱私保護機制，明確什么信息能傳給第三方服務器，什么信息不能傳，什么信息需要加密等等，在選購和建設時要溝通充分”。對于像慧達驛站這樣的第三方系統，安楊認為，首先要明確用于驗證等功能需要的信息有哪些，不越界，不請求涉及客戶信息的內容；其次數據傳輸過程要加密，不能明文傳輸，同時重視系統安全性，定期檢測和修復漏洞。

開放的WiFi信號就像一個廣場

隨著智能終端的不斷普及，用戶對上網的需求也日趨明顯，而借助WiFi也成為了不少移動終端用戶的首選，但是越來越普遍的WiFi鏈接，也開始引發了安全性方面的隱患。

據資料顯示，WiFi的通信標準于2009年制定，但由于無線信號的分散性的特點，使得開放的WiFi信號就像一個廣場，安全性并不能令人滿意。其中免費無線網絡更是安全問題的重災區。早在2012年2月，就有黑客自曝在星巴克、肯德基這些提供免費無線網絡的公共場合，用一臺筆記本電腦、一套無線網絡設備以及一個網絡包分析軟件，可以搭建一個免費的偽造無線網絡，名稱為KFC、GMCC、Starbucks2等，不明真相的用戶不需要密碼就能馬上登錄，但一旦用戶連接該無線網絡信號后，黑客在15分鐘之內就可以竊取上網用戶的個人信息和密碼。如果上網用戶進行了網上交易操作，包括網銀賬號密碼、炒股賬號密碼在內的數據也一律會被黑客拿下。

據互聯網安全專家表示，這實際上是局域網內一種中間人攻擊，這種攻擊手段早在2001年就已經有非常成熟的工具，而且非常簡單。對于網絡傳輸中非加密的數據(比如登錄微博、一些郵箱)，很容易導致密碼的泄漏，而日常上網中的大多數操作都是沒有加密的。同時，發起攻擊的黑客甚至可以植入一段惡意的代碼以達到其目的。像電影中利用竊聽程序獲取手機用戶的通話內容，并不是危言聳聽。

加密無線網絡也有漏洞

隨著技術的進步和用戶使用習慣的改變，即使加密的無線網絡也開始出現漏洞。在今年九月，當小米手機推出的“WiFi分享”新功能時則引起了行業的熱議和質疑。據介紹，小米系統的WiFi分享功能能夠在小米用戶進入有WiFi信號覆蓋的公共場所(如咖啡廳)時，選擇一鍵“分享網絡密碼”，讓其他小米用戶直接連上加密的WiFi。根據小米公司的數據顯示，小米服務器上存儲的公共場所WiFi密碼達到32萬個。

小米CEO雷軍表示，該功能是為免去用戶再次輸入密碼的麻煩，假設幾個朋友到咖啡廳，只要其中一個人向服務員索要WiFi密碼，其他人就都能連接上。就此功能不少商家和安全專家都公開表示了反對，從資源利用的層面來說，這種行為無疑是在鼓勵用戶“蹭網”，雖然有一定的便利性，但卻會使得商家的利益受到侵害。而熱點分享之后，同時在線人數激增，會增加公共WiFi的帶寬壓力，造成網絡堵塞，影響上網體驗。更重要的是，這種隨意的網絡共享會造成整個局域網內安全性的下降。雖然小米自稱只是分享公共場所如咖啡廳的加密密碼，但許多人擔心如果企業WiFi網絡密碼被分享會成為潛在的安全隱患。迫于壓力，小米方面已經叫停了該功能的上線，并刪除了服務器上保存的大量公共WiFi密碼。

河南億恩科技股份有限公司(www.23lll.com)始創于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務，另有網總管、名片俠網絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900