酒店如何警惕第三方系统漏洞

　　( 顾雯)10月5日，乌云网发布报告称，大批快捷酒店的开房记录存在泄露风险。

　　10月10日，提供酒店Wi-Fi管理、认证管理系统的浙江慧达驿站网络有限公司承认，其无线门户系统此前存在隐患。

　　10月12日，慧达驿站在官网公告，漏洞已修复，隐患解除。

　　10月15日晚，一个可检索酒店住客信息的查询网站出现，可在线查询部分住客的开房信息。

　　10月伊始，当各大酒店还在争抢黄金周市场的时候，一份被泄露的酒店开房记录正在形成一团乌云，让牵涉其中的如家、汉庭、7天和锦江之星等知名经济型酒店措手不及，公众的质疑声似乎都集中在酒店为何没有妥善保管客人的资料信息，而甚少有人去质疑这些涉事酒店背后的第三方系统。

　　对此，记者也专门针对此次事件第三方慧达驿站系统的技术漏洞采访了杭州东方网升科技有限公司技术中心总经理万仁良。他认为，在酒店的客户信息向慧达驿站的服务器进行数据同步的过程中，数据没有进行加密，可能被抓包;另一方面，如此大批量地涉及这么多家酒店，可能是慧达驿站的服务器本身存在漏洞。

　　该漏洞报告的作者"YEP"也分析了漏洞的根源：因为各个酒店使用了这套系统，所以慧达驿站在其服务器上实时存储了这些酒店客户的记录。而由于客户信息的数据同步是通过http协议实现的，需要认证，但是认证用户名、密码竟然是明文传输的(正是这点让泄露出现了可能)，各个途径都可能被轻松嗅探到，用这个认证信息就可以从他们数据服务器上获得所有酒店上传的客户开房信息。同时，该作者也质疑："他们这么做，我觉得动机有问题。"

　　而目前对这些涉事酒店而言，如何警惕第三方系统漏洞才是最重要的。万仁良认为，首先，内部应用软件、服务器应该放在内网，与互联网隔离;其次，核心数据不应该同步到第三方公司服务器，服务器应该部署在内部。

　　此外，互联网分析专家、数据分析师王勤为也对此发表了自己的看法："这个要从信息化发展的角度来说，现代酒店的管理已经高度网络信息化。信息化的发展也形成了酒店行业快速发展一个缩影。任何一个事物都有两面性，网络化信息带来了运营效率的提升，也带来了安全性隐忧。这个问题我觉得不应从技术层面来解决，因为技术没有完美的，它是不断迭代变化不断发展的。

　　作为酒店更应当提升的是对信息安全的意识。在这方面，现在的酒店管理者，尤其是国内酒店管理者多是传统管理体制起来的一代，存在者严重的意识和旧思维的障碍，甚至对技术的未知带来的后果预估不足。"

　　"我觉得这不是系统漏洞，这是管理漏洞，最好的方式是从上至下的对数据安全的意识和管理意识的提升来解决这个问题。"王勤为最后表示!