当前位置:生活小百科 >> 正文

如家汉庭等大批酒店开房记录泄露|酒店数据泄露受害者告汉庭及数据商索赔20万

2018-01-12 21:58:33 来源: 责任编辑:生活小百科

篇一 : 酒店数据泄露受害者告汉庭及数据商索赔20万

  2000万条酒店数据“曝光” 男子频接冒充熟人诈骗电话 被迫到派出所改姓 之后决定维权

  开房信息泄露后 告汉庭

  

 

  ▲经乌云网曝光后,引发网友热议

  

 

  ▲乌云网曝光该网络漏洞  法制晚报讯(记者 毛占宇) 为全国4500多家酒店提供网络服务的浙江慧达驿站网络有限公司,由于安全漏洞问题,导致2000万条在2010年下半年至2013年上半年入住酒店的客户信息泄露。

  家住上海的35岁男子王金龙遭遇信息泄露后的烦恼。他告诉《法制晚报》记者,他原本不姓王,由于被诈骗电话骚扰得彻底失去安全感,才到派出所改姓。他到当地法院起诉了汉庭星空(上海)酒店管理有限公司和浙江慧达驿站网络公司,索赔20万元。

  日前,法院受理了这起案件,并确定了证据交换的时间。

  惊人事件 2000万条个人住店数据 网上曝光

  2013年10月,国内安全漏洞监测平台“乌云网”披露,自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。

  数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。

  开房数据中,开房时间介于2010年下半年至2013年上半年,包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个字段。

  典型事例 个人信息泄露后 感觉变“裸体”

  今年35岁、在上海工作的王金龙是住店信息被泄露的受害者之一。他怎么也想不到,自己的命运被这起数据泄露事件改变。

  王金龙本来不姓王。原本姓什么,他不肯说。日前,在上海的一间茶馆里,王金龙讲述了几个月来自己的“憋屈”经历。

  听说泄露事件后,王金龙出于好奇,从网上下载了“2000w开房数据”。“一搜索,结果让我惊呆了,里面也有我的信息!”

  王金龙说,信息不但包括姓名、身份证号、手机号、户籍地址等,还能显示出他和同事一起出过差,一起开过房间。

  他告诉记者,之后不久,他开始频繁收到各种“精准的”营销电话,从卖房子、卖黄金期货、炒白银、推销保险、推销能接收成人节目的卫星电视等,不一而足。

  对方可以直接说出他的生日、家庭住址,甚至还知道他住的房子有多大,开的是SUV,而且具体是哪个品牌。

  “忽然间,我发现自己是个完全‘裸体’的人!”他说。

  骗子冒充熟人 频频打电话诈骗

  又过了一段时间,王金龙开始接到“猜猜我是谁”一类的诈骗电话。由于对方每次都能说出自己准确的个人信息,每次都让王金龙“陷入云雾”。

  有个骗子让王金龙记忆犹新。“是×金龙吗?(王金龙以前的名字)”一个南方口音的人打过来电话,却不说自己是谁,让王金龙“猜”。

  见王金龙不回答,对方说:“等到你×月×日过生日(说出了准确的生日),我把礼物从广州寄到你×地(准确的地址)的家里去,你可想着收快递呀!”

  此时,王金龙误以为对方是自己一个广州的客户,但忘了这个人的姓名,碍于面子又不好问,糊里糊涂地与对方寒暄了一阵才挂电话。

  第二天中午,对方又打来电话,称遇到急事,需要钱摆平,让王金龙帮忙。“我和这个客户不熟,对方不可能这么直白地找我借钱,我这时才发觉对方是骗子。”王金龙说。

  为避免危险 中年男子被迫改姓

  这些事情让王金龙感到了危险,精神压力极大。但他是做培训工作的,平时社会接触面很广,陌生号码不能不接。

  王金龙想,如果一直这样发展下去,自己万一被坏人盯上,可能全家人的安全都会受到威胁。反复考虑后他决定——改姓!

  他告诉记者,自己的父母都是思想非常传统的老人,改姓的事最初他们根本不能接受,顿时翻脸要离开上海回老家。

  他和父母先后谈了5次,父母才理解他的用心,无奈接受。

  “去派出所办手续时,警察都觉得奇怪。一般都是小孩儿来改姓,从来没见过35岁的大男人来改姓的。”他苦笑着说。

  10个工作日后,他成了“王金龙”。接下来,他按照新名字,逐一改了原来的身份证、户口本、社保卡、银行卡等,“每个没有7个工作日都办不下来,每天都在为改信息奔波”。

  换了姓之后王金龙又换了手机号。找回安全感之后,他决定维权。

  多人受害 和前女友开房被发现 婚事黄了

  他开通了2000万开房信息“受害者联盟”QQ群和公众微信号“保护个人信息维护公民利益”。王金龙希望通过这两个渠道,将有意维权的受害人集中到一起。

  如今,QQ群里已经聚集了约400人。

  受害人李刚(化名)和王金龙一样,个人信息泄露后同样收到大量骚扰电话。

  “一打就是一天,用软件拦截都没用。拦了一个,又来个新的,很无奈。”他说,他甚至大半夜接到过一条短信,对方要求他往一个美国账户里汇200块钱,否则就一直骚扰他。

  受害人王亮(化名)更是悲催。他和女友本来已经谈婚论嫁,但女友通过查询“2000w开房数据”,发现他几年前几乎每周都有几个晚上到酒店开房,且每次只逗留两三个小时,于是,女友决定和他分手。

  而他解释的实情是,这只是他以前和前女友开房时留下的记录,没想到“陈芝麻烂谷子的事”给现在的生活造成这么大的困扰。

  起诉维权 事主取证 称信息从汉庭酒店泄露

  QQ群的大部分网友都在找王金龙询问对策,大家都在观望。王金龙决定做“全国维权第一人”,起诉导致自己个人信息泄露的浙江慧达驿站公司和自己入住的汉庭酒店,用自己的行动给其他受害者做榜样。

  2013年11月19日,他在上海闵行公证处花3000元进行了证据保全。公证书一共65页,详细记录了王金龙个人信息遭泄露的事实。此外,还有浙江慧达驿站网络公司自认存在漏洞的情况。

  王金龙给记者展示的信息是从汉庭酒店泄露的证据链。在“2000w开房数据”中,可以搜到王金龙办理酒店入住的信息,入住时间是2012年12月5日。

  而汉庭酒店给王金龙发来的邮件明确记载,2012年12月5日,王金龙入住到汉庭酒店广州天河店。

  “当时是因公出差,有汉庭天河店开具的发票。另外,我也从银行打印了付款的对账单。”他说。

  随后,王金龙进入浙江慧达驿站公司官网,从中发现,汉庭酒店是其提供服务的酒店之一。如今,相关页面已经在公司官网上无法看到,但记者收到了王金龙交给记者的当初的截图。

  告汉庭及数据服务商 索赔20万

  2013年11月28日,王金龙委托上海市律师协会信息网络与高新技术专业委员会主任、大成律师事务所(上海)分所律师商建刚和另一位律师黄海东,到上海市浦东新区法院提交起诉状。

  诉状中,王金龙请求法院判令汉庭星空(上海)酒店管理有限公司、浙江慧达驿站网络公司立即采取补救措施消除危险,确保其信息安全,立即消除影响(包括但不限于删除网上涉及酒店入住信息的数据,防止隐私信息的进一步公开扩散),浙江慧达驿站公司删除其个人电子信息,并立即停止收集、保存或者使用其入住信息。

  此外,王金龙还要求法院判令两被告以书面形式向自己道歉,并赔偿精神损害抚慰金等损失20万元。

  2013年12月30日,浦东新区法院正式受理此案。王金龙成为“2000w开房数据”事件发生后起诉的第一人。

  王金龙表示,他起诉首先是为自己维权,因为酒店个人入住信息泄露对其影响太大;同时起诉也带有公益诉讼性质,希望通过此案唤起社会对个人隐私信息的保护。

  其代理人商建刚表示,他希望案件能产生判例效应,如果每个案件法院都能判决被告赔偿20万元,总赔偿金额或将高达4万亿元,数额史无前例,对泄露单位来说是个“重磅炸弹”,案件也将成为中国隐私权保护发展中的里程碑。

  汉庭说法 否认与涉案服务商有合作

  上午,《法制晚报》记者联系到汉庭星空(上海)酒店管理有限公司,该公司公关部魏姓工作人员表示,该公司并不是慧达驿站公司Wi-Fi项目的客户,双方在早年间有过合作,但也不涉及Wi-Fi项目,慧达驿站公司只是把所有与其合作的酒店全列在了“合作伙伴”名单里。

  对于其他问题,该人没有接受采访。

  律师说法 酒店违反保密义务 合同违约

  商建刚律师告诉《法制晚报》记者,消费者去酒店入住,与酒店形成合同关系。合同法规定了合同双方之间有保密义务。酒店没有妥善保管消费者信息,致使泄露,应承担违约责任。

  同时,侵权责任法中也规定,一方未尽到安全保障义务,对他人造成损害的,应当承担侵权责任。

  本案中,浙江慧达驿站公司为酒店提供技术系统服务,因此该公司对消费者信息有安全保障义务,如泄露也要承担侵权责任。

  文/记者 毛占宇

篇二 : 如家汉庭曾泄漏2000万开房信息

漏洞报告平台乌云网最近连续披露两个携程网安全漏洞,称携程安全支付日志可被任意读取,日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。

携程解释称,安全漏洞是由于技术开发人员为排查系统疑问而留下临时日志,并由于疏忽未及时删除。不过,据知情人士透露,一旦掌握目录遍历,攻击者能超过服务器根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或采取更危险行为。

此次暴露出的“隐私泄露”问题并非携程一个企业存在,7天等连锁酒店去年就被曝出存在系统安全漏洞,导致2000万用户身份证、手机、住址及开房时间等信息遭到泄露。

如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储这些酒店客户的记录,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。

结果因为某种原因,这些信息是可以被黑客拿到的。漏洞的根源在于慧达驿站公司管理机制的不完善,因为他们的系统要求酒店在提交开放记录的时候进行网页认证,但不是在酒店服务器上,而要通过慧达驿站自己的服务器,理所当然地就存下了客户的信息。

另外,客户信息数据同步是通过http协议实现,需要认证,但是认证用户名、密码是明文传输,各个途径都可能被轻松嗅探到,用这个认证信息可从他们数据服务器上获得所有酒店上传客户开房信息。

一家安全专家就曾以如家为例,指出黑客如何可以利用这些漏洞通过远程入侵渗透方式获取目标服务器权限,并以此盗取用户敏感数据信息。

以7天连锁酒店WLAN账号管理系统为例,安全专家对该系统分析过程中,发现该系统应用Structs2框架。而Structs2框架在曾被公布存在严重的远程命令执行和重定向漏洞。

安全专家选择一个URL地址进行Structs2漏洞测试。根据已公布漏洞利用方法,尝试进行远程命令执行漏洞的利用,尝试执行命令whoami,即尝试获取当前用户的用户名信息。

安全专家再构造URL地址。该URL的作用是:如果目标系统存在Structs2远程命令执行漏洞,则系统会执行我们预设的whoami命令,并将命令执行的结果信息反馈给安全专家。

在浏览器中提交该URL信息后,安全专家发现可以获取当前用户名信息,也就证明该系统存在严重的Structs2远程命令执行漏洞。

通过进一步的信息获取,获取到与服务器环境有关的一些信息如下表所示。

在真实的入侵事件中,黑客目标不是获取服务器相关信息,而是获取与用户相关敏感数据信息。安全专家首先就是利用漏洞获取Webshell。关于Structs2框架获取Webshell的方法已经有成熟的利用方式,仅需要通过远程命令执行漏洞写入文件即可实现。

通过Webshell中的文件查看功能,安全专家找到数据库连接信息,并在该信息基础上获取目标数据库中黑客比较感兴趣的数据库表及用户的敏感数据信息。

安全专家指出,通过上述针对7天连锁酒店网络系统安全漏洞分析,在酒店众多网络系统中,如果一个系统存在安全问题,就可能导致与酒店相关用户的敏感数据信息泄露,从而引发公众关于“开房”的恐慌,而这也恰好验证网络安全的木桶原理。

在对其他连锁酒店网络系统的安全分析中,这些酒店网络中几乎都存在这种安全风险,这都将导致用户的敏感数据信息及个人隐私的外泄,对用户的影响和危害及其巨大。

另一位安全专家就表示,企业,尤其是国内互联网企业,在安全方面投入很少,一般都把精力花费在发展用户上,没人重视信息安全问题,除非出问题后才会想起来。

文/雷建平,微信账号touchweb

篇三 : 2000万开房信息泄露 恩爱家庭面临考验

如家、汉庭等快捷酒店疑似泄露顾客信息的报道出来以后,网络上出现了“查开房”网站,该网站名为“贰仟万某记录查询系统”,只要输入身份证号,在酒店住过的住户个人信息将一览无余。据称在这份记录中,有2000万开房信息遭泄露。这份名单究竟是真是假?又是从哪里泄漏出来的?

疑似开房信息

根据网友爆料,一个名为“查开房”的网址暴走网络,迅速引起轩然大波。经记者实测,只需输入姓名或身份证号,便可查询到顾客的真实信息。随后,又有网友称响应大数据时代的号角,曝光了2000万开房数据,并对其进行了细致的统计分析。结果发现:天秤座和天蝎座的人最爱开房,1982和1987年的人喜欢上酒店,重庆户口的人均开房率最低,上海最高,四川也不高。开房性别方面,男生66%,女生34%,姓氏方面,王张周吴朱马郑都挺爱开房的。

开房信息泄露以后,不知道有多少人要脊背发凉直冒冷汗了?此事之所以能勾起网友们的八卦之心,大概和当下的社会氛围有关,因为一些不正常关系的存在,使得“开房”这件本来很正常的事情变得暧昧和神秘。不过在八卦的同时千万别忘了,信息安全关乎每个人,今天或许你没有见不得人的开房信息泄露,但如果任由发展,那么明天泄露的可能就是你的隐私。在这个信息社会,信息安全变得愈加重要,保护个人信息亟待法律“护航”。



>>返回 生活小百科 内容:http://www.jianliw.com/413803.html

文章很赞,分享给朋友
相关内容


星剑士 旋转编码器的分辨率 土豪诗 生死狙击土豪号大全 鱼与龙同池 写给小白的信 表白情书写给男孩 花式咖啡学习 花式咖啡的种类 重要消息

免责声明:本站作品均来自网友分享或互联网,若您发现本站存在您非授权的原创作品请第一时间联系本站删除,本站享有代替本站作者维权的权力。

CopyRight @ 2008-2018 jianliw.com 生活小百科,All Rights Reserved 版权所有

粤ICP备15014829号-1