该安全漏洞最初于8月份被网络安全研究人员发现并确认,随后依据行业标准流程向相关厂商通报,并逐步向技术专家社区开放信息。目前,漏洞的完整细节已全面公开,并已提交给CNCERT国家互联网应急中心进行紧急协调处理。
由来
国内权威安全漏洞监测平台乌云发布专项报告,指出如家酒店集团、汉庭等多家知名酒店的开房记录被第三方平台集中存储,且因系统漏洞导致数据外泄。
根源漏洞的核心问题源于慧达驿站公司的管理机制存在疏漏,其系统设计要求酒店在提交开房记录时进行在线认证,但认证过程并非在酒店内部服务器完成,而是通过慧达驿站自有服务器中转,从而被动存储了大量客户隐私数据。
同时,客户信息的数据同步依赖HTTP协议,虽需身份验证,但认证所需的用户名和密码竟以未加密明文传输,极易被中间人攻击嗅探。利用这些凭证,恶意方便可直接从数据服务器获取所有酒店上传的客户开房详细信息。
修复2013年10月11日,慧达驿站市场部总监公开回应,确认漏洞存在,并归因于公司无线门户系统信息安全加密级别较低。企业已通过升级加密算法等措施完成漏洞修补。但官方强调,未发生客户开房记录等个人数据的实质性泄露事件。
参考资料 >
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~