锦江之星等快捷酒店再曝系统漏洞 开房信息在线可查

　　“去年去北京开会住的@锦江之星连锁酒店,又查了同去的几个实验室成员,都对上了。还好因为不是会员没有暴露手机号之类的信息,但身份证号是保不住了,真可怕!怒!”

　　从前日深夜开始,一个可以检索酒店住客信息的查询网站出现了,让几天前的酒店开房记录泄露事件再起波澜。有网友猜测,网站数据信息很可能与此事件有关,不过这尚未得到涉事方的证实。南都记者查证发现,查询网站上流出的数据属实,住客开房登记时间的跨度从2010-2013年。

　　酒店开房记录泄露事件,指的是安全漏洞监测平台乌云10月5日发布报告称,一批快捷酒店的开房记录因为存在第三方存储和系统漏洞而被泄露。对此,被指应负责的酒店数字客房服务商曾第一时间否认。

　　网站现已无法正常访问

　　前晚引发网友关注的网站,设计极其简单。打开后,主页只有最上方的“查询”两字,以及一个“姓名或身份证”输入框和“查询”按钮。输入姓名后,很快就能得到数据库中所有同名者的个人资料,包括姓名、身份证号、性别、出生日期、地址、国家、省市代码、民族、电子邮箱、手机号码和(住宿)登记日期等信息。如果输入的是身份证号,则能定向查到该人士在酒店的开房信息。

　　这些信息显示的入住登记时间,分散在2010-2013年。昨日凌晨1时许,南都记者用多位同事的姓名进行验证查询,证实其中多位同名查询出的结果中,包括同事的准确身份和入住时间信息。其中一位同事回忆,他被曝光的2012年8月的开房信息属实,当时他入住了郑州一连锁酒店。

　　据新浪微博记录,较早发现该住客信息查询网站的是一位名叫“毅咝不挂”的网友。前日22时26分,其发微博说,“那个开房记录,有人做了在线查询”,并提供了上述链接地址。该网友认证信息是吉林某地产公司的执行董事。“毅咝不挂”昨晚回复南都记者称,其是在网上看到该网站的,但未透露详情。

　　网友留言显示,已有网友通过网站查询了自己或身边人的开房信息,并表示身份证和手机对得上。网友“咱说”就表示,“刚看到有人给出链接,说是输入人名就可查某快捷酒店的开房记录。试了下,居然有我,根据登记时间回忆了一下,是去年去北京开会住的@锦江之星连锁酒店,又查了同去的几个实验室成员,都对上了。还好因为不是会员没有暴露手机号之类的信息,但身份证号是保不住了,真可怕!怒!”

　　域名信息查询结果显示,这个以U S为后缀的查询网站,注册地是美国新泽西州,注册日期是2013年7月28日。在被微博网友围观几小时后,昨天凌晨1时许,国内用户已无法访问该网站。

　　酒店Wi-Fi管理系统被曝有风险

　　有网友猜测,该查询网站的数据就来自前不久被曝出的“酒店开房记录”。10月5日,国内安全漏洞监测平台乌云(w w w .w ooyun.org)发布报告称,如家、汉庭等大批快捷酒店的开房记录,因存在第三方存储和系统漏洞而被泄露,并在接下来的一周引发关注。

　　据乌云的“漏洞详情”描述,如家、咸阳国贸、杭州维景国际等全部或者部分使用了慧达驿站开发的酒店W i-Fi管理、认证管理系统。浙江慧达在服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期和房间号等隐私信息,因浙江慧达系统存在漏洞,使这些信息存在被泄露的风险。按乌云的说法,早在8月21日,其已将漏洞细节通知厂商,并于8月26日得到厂商确认。

据慧达驿站官网介绍,浙江慧达驿站网络有限公司创立于2005年12月,“时至今日,已经成长为中国最大的酒店数字客房服务商”,“公司业务已覆盖全国45