论文部分内容阅读
如家等酒店的开房信息被泄露只是一件不复杂的安全事件,但因为涉及到了众多酒店,涉及到了大家都很敏感的个人隐私而备受关注。这件事情告诉我们,有IT就要有安全,所有人都应该有这根弦儿。
—— 本报记者 程彦博
近日,一则“如家等酒店的开房信息被泄露”的消息被广为报道。信息泄露的原因是浙江慧达驿站网络有限公司(以下简称慧达驿站)开发的酒店WiFi认证管理系统存在漏洞。披露这一漏洞的正是著名的开放漏洞报告平台乌云网。笔者查阅了几个财经媒体对此事的报道,再对比乌云网上公布的漏洞情况,却发现有些许出入。
根据乌云网公布的细节,这个漏洞并非源于什么高深的技术威胁,而是慧达驿站的系统设计没有在用户信息安全方面进行考虑。慧达驿站的WiFi管理系统的身份认证需要在慧达驿站的服务器进行,也就是说酒店用户用于登录WiFi的身份认证信息可以通过该系统轻而易举地被慧达驿站掌握。同时,系统又将认证信息在互联网上进行明文传输,导致这些信息也让黑客能轻易掌握。
乌云网有着漏洞公布流程,并非发现漏洞后即向公众公开。大家都很清楚,对于互联网漏洞,如果发现即公开,将带来什么样的严重后果。就该漏洞的披露流程而言(这也是乌云网大多数漏洞的公布流程),是漏洞被发现后便于8月21日通知厂商并向厂商公开,然后逐级在站内公开,至10月5日才将漏洞细节向公众公开。当然,乌云网上的未公开漏洞的概要信息等粗略信息同样可以被查询到,而且笔者也在乌云网上查询到了某些漏洞被标识为“未联系到厂商或者厂商消极忽略”而予以公开。
慧达驿站在漏洞修复后称:“截至2013年10月8日,相关截屏的住客信息未发生实质性泄密结果。”可以说,乌云网虽然公布了该漏洞,但并未因此造成危害,相反正是乌云网这一开放的漏洞提交、审核、处理、公布平台,帮助很多厂商修复了各种漏洞,保障了系统和用户的安全。
一个并不复杂的安全漏洞,但因涉及众多酒店的客户隐私而备受关注。虽然案情简单,但折射出的东西值得我们思考。某些软件厂商的安全和用户数据保护意识淡薄,用户(如酒店)在选择软件时是否有意识或者有能力考查软件的安全性?对于初衷是提高互联网安全性的开放的漏洞报告平台,我们应该采取什么样的态度,是否需要一些法律约束?
这件事情告诉我们,有IT就要有安全,所有人都应该有这根弦儿。
—— 本报记者 程彦博
近日,一则“如家等酒店的开房信息被泄露”的消息被广为报道。信息泄露的原因是浙江慧达驿站网络有限公司(以下简称慧达驿站)开发的酒店WiFi认证管理系统存在漏洞。披露这一漏洞的正是著名的开放漏洞报告平台乌云网。笔者查阅了几个财经媒体对此事的报道,再对比乌云网上公布的漏洞情况,却发现有些许出入。
根据乌云网公布的细节,这个漏洞并非源于什么高深的技术威胁,而是慧达驿站的系统设计没有在用户信息安全方面进行考虑。慧达驿站的WiFi管理系统的身份认证需要在慧达驿站的服务器进行,也就是说酒店用户用于登录WiFi的身份认证信息可以通过该系统轻而易举地被慧达驿站掌握。同时,系统又将认证信息在互联网上进行明文传输,导致这些信息也让黑客能轻易掌握。
乌云网有着漏洞公布流程,并非发现漏洞后即向公众公开。大家都很清楚,对于互联网漏洞,如果发现即公开,将带来什么样的严重后果。就该漏洞的披露流程而言(这也是乌云网大多数漏洞的公布流程),是漏洞被发现后便于8月21日通知厂商并向厂商公开,然后逐级在站内公开,至10月5日才将漏洞细节向公众公开。当然,乌云网上的未公开漏洞的概要信息等粗略信息同样可以被查询到,而且笔者也在乌云网上查询到了某些漏洞被标识为“未联系到厂商或者厂商消极忽略”而予以公开。
慧达驿站在漏洞修复后称:“截至2013年10月8日,相关截屏的住客信息未发生实质性泄密结果。”可以说,乌云网虽然公布了该漏洞,但并未因此造成危害,相反正是乌云网这一开放的漏洞提交、审核、处理、公布平台,帮助很多厂商修复了各种漏洞,保障了系统和用户的安全。
一个并不复杂的安全漏洞,但因涉及众多酒店的客户隐私而备受关注。虽然案情简单,但折射出的东西值得我们思考。某些软件厂商的安全和用户数据保护意识淡薄,用户(如酒店)在选择软件时是否有意识或者有能力考查软件的安全性?对于初衷是提高互联网安全性的开放的漏洞报告平台,我们应该采取什么样的态度,是否需要一些法律约束?
这件事情告诉我们,有IT就要有安全,所有人都应该有这根弦儿。