最近一个安全事件蛮热闹的:
国内安全漏洞监测平台乌云(WooYun.org)近日发布报告,称如家、汉庭等大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。
该漏洞早在8月份就已经被发现并确认,随后按照标准流程通知厂商,并逐步向专家和技术人员公开,而如今已将漏洞细节公之于众,也交给了CNCERT国家互联网应急中心进行处理。
漏洞发现者称,如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记录,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。
结果因为某种原因,这些信息是可以被黑客拿到的。
漏洞的根源在于慧达驿站公司管理机制的不完善,因为他们的系统要求酒店在提交开放记录的时候进行网页认证,但不是在酒店服务器上,而要通过慧达驿站自己的服务器,理所当然地就存下了客户的信息。
另外,客户信息的数据同步是通过http协议实现的,需要认证,但是认证用户名、密码竟然是明文传输的,各个途径都可能被轻松嗅探到,用这个认证信息就可以从他们数据服务器上获得所有酒店上传的客户开房信息。
大部分酒店目前尚未公开回应,不过据称汉庭方面正在努力公关、推卸责任。
这篇新闻稿件中却在抹黑乌云:
“从法律角度来讲,乌云网被业界认为是通过一些‘黑客’手段寻找漏洞,按此说法,乌云网本身涉嫌侵权,因为其通过非正当手段获取数据寻找漏洞。假如乌云网是一名‘善意的黑客’,其目的仅是为帮助企业修补漏洞,那么乌云网应该私下就找出的漏洞与企业沟通,而不是公之于众。要知道酒店登记入住涉及个人隐私和资料,一旦信息被泄露不仅涉嫌对企业侵权,也涉嫌对个人侵权,假如客人因此状告酒店而酒店再以侵权状告乌云网,那么乌云网就会很麻烦。”上海袁圆律师事务所陈军律师分析。
这个陈军律师显然是个外行,从法律知识到网络知识都是不完备的,先不批评他不明白“安全漏洞监测平台乌云”是做什么的,且看他是如何被 当事人 慧达驿站 打一巴掌到脸上的:
释疑酒店住客信息泄漏事件
——慧达驿站无线门户系统安全升级通告
近日,国内第三方漏洞监测平台乌云(www.wooyun.org)发布报告,指出慧达驿站为国内大量酒店提供的无线门户认证系统存在信息泄漏的安全隐患。经查证,无线门户系统存在信息安全加密等级较低问题,有信息泄漏的安全隐患,慧达驿站的技术团队针对现有无线门户认证系统已完成全面升级,在此感谢第三方漏洞监测平台乌云(www.wooyun.org)对慧达驿站提升产品安全性的帮助。
慧达驿站的无线门户系统是依照互联网服务的实名制要求,符合国家互联网监管的管理规范,匹配酒店规范化管理的要求。对于媒体的相关报道,截屏中的住客信息未发生泄密情况,截屏信息是相关机构作为技术验证漏洞的展示。
有关无线门户系统的安全性问题,是慧达驿站的责任,与任何酒店客户无关。
另,慧达驿站在无线门户业务领域与汉庭酒店(华住集团)、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店客户没有合作关系。
对相关媒体报道所提及酒店客户带来的困扰,慧达驿站在此表示深切的歉意,并感谢您一直以来对慧达驿站的信任和支持!
信息安全是各行各业在移动互联网时代面临的一项巨大挑战!慧达驿站一直致力于帮助酒店客户构建安全的网络生态环境。当然,慧达驿站的经验和能力还需提升,我们的团队会持续精进,为客户提供优质可靠的服务!
浙江慧达驿站网络有限公司
2013.10.10
慧达驿站公司不仅不会责怪乌云网,而且坦承错误和过失,甚至表示感谢。陈军律师马上成傻逼了。
事件还没有结束。
酒店Wi-Fi管理系统的漏洞在网络安全界或黑客市场里,显然不是只有一个发现者。通常的情况是,一个漏洞最先被商业黑客发现,利用完之后转手卖掉,接下来有些像记者一样的白帽子安全工作者听说了,就会把漏洞完整的验证一次,然后热心的提交到乌云这样的平台上帮助厂商改善。乌云这样的机构就像是一个认证机构,他们有技术实力再次确认一次安全漏洞,然后跟厂商联系,直到厂商积极修复,等厂商修复完了,再公布技术细节。这样的发现bug到修复bug的过程是非常有积极意义的。这是非常负责任的处理方式,根本不存在法律上的疑问。记得有早期的有技术高超的中国黑客方兴(flashsky),发现了微软的产品的安全漏洞,不屑于把发现的安全漏洞卖钱祸害社会,尝试汇报给微软却完全没人搭理,辛苦做的研究没人承认。甚至有些人好心把安全漏洞报告给厂商,厂商却在修复后不愿意承认漏洞存在,所以乌云这个平台应运而生。乌云网会和厂商建立关系,也会尊重漏洞发现者的工作成果,漏洞会以负责任的方式处理——厂商和公众都享有知情权,既不替厂商掩盖事实,也不在厂商未提供修复方案前公开而导致用户受到损害。
回事此次店Wi-Fi管理系统安全漏洞事件上来,接下来,网上出现了一份1.71GB的 “某酒店2000W数据 ct2000(解压密码:sjisauisa是就数据8很舒适好sjjss).rar ” 许多人纷纷下载并导入到MS SQL SERVEER里进行查询,甚至人人把资料做成一个网站 http://q.r90.us/ 允许人们在线查询,目前可能访问量太大而下线,通过这个在线查询网站,我发现数据甚至上从2010年开始,我输入多位近年来活跃的律师,如刘晓源、陈有西、浦志强,都确实查到了他们的名字、电话、住址,甚至EMAIL都有。这些应该是在酒店登记的实名上网的资料。
同时,twitter上有许多人在批评分享这酒店2000万数据的人,认为二次传播也是侵犯个人隐私,他们认为这些个人资料是隐私。
师北宸提到:
好的数字世界应该是想透明的人,可以通过透明获得相应利益并自己承担因主动透明的代价;它同时要保护对自己隐私要求苛刻的人即使个人信息被泄露,也有补偿机制修复。你的个人信息一旦公开数字化,便很难补救,这是当前数字世界的特征,但不代表未来它仍然应该如此。二次放大别人个人信息的人当然有错。
— 师北宸 (@Beichen) October 18, 2013
我有不同看法:
@Beichen 如果“二次放大别人个人信息”的人有错,“ 五角大楼文件案”里,报纸违规披露国防部档案而读者读到并把报纸借给别人看,读者成为间谍共谋?看过陈冠希摄影作品的人应该承担什么样的过错责任?公开渠道获得的信息什么情况下可以再分发?什么情况下不能分发?这些边界值得讨论。
— 佐拉Ⓥ (@zuola) October 18, 2013
@zuola 五角大楼是政府信息,跟个人信息两码事。
— 师北宸 (@Beichen) October 18, 2013
我觉得这讨论起来无法用三言两语,所以索性写BLOG来说。
我仍然不同意 师北宸 说的 “五角大楼(文件)是政府信息,跟个人信息两码事”,WIFI上网用户的个人资料应政府实名要求记录下来政府要求随时查看,这就是和五角大楼文件同样性质的“政府资料”呀。乌云网会满足厂商和用户及公众的知情权,那些,酒店用户是否享有知情权呢?实名上网的个人资料泄露,如果当事人按照陈军律师的设想去状告酒店,他如何证明自己的资料泄露的当事人呢?他还是得去得到证据证明他的个人资料泄露,他仍然需要人们分享出来的“某酒店2000W数据”。
有人认为,人们分享“某酒店2000W数据”是对个人隐私的伤害;会泄露出开房记录导致一些人的家庭破碎;二次放大别人个人信息。
第一种说法,我的反驳是:“某酒店2000W数据”的存在,不会是不看见就没伤害,也不会是看见了更伤害,相反,是看见这些被公开的个人资料后,你会对不请自来的电话骗子、邮件骗子、算命先生更警惕,你的言行会更谨慎,不会去和酒女开房,不会在网上写《十问李开复》引起反噬,你会像个没有隐私的名人一样谨言慎行。
第二种说法,开房记录导致家庭破碎,这就更没逻辑了,准确的说是婚外情导致家庭破碎,跟酒店没关系,跟人品有关系,跟WIFI上网实名登录的资料没关系。
第三种说法,二次放大别人的个人信息,那还有三次放大四次放大吗?信息传播的边际成本几乎为0的网络时代,资料被公开还分多个层次?有了“第一次”放大,接下来面对个人资料泄露采取掩耳盗铃的方式? 这也太消极太可笑了吧,积极的处理方式应该是,先查一下个人资料是否确实被泄露,心里有个数,下次碰到能准确说出自己的个人资料的人不能给予较高级别的信任,遇到意外拜访、邮件、电话先假设对方是看到过自己资料的人,而不是把对方当成“半仙”,这样,个人资料泄露造成的伤害就降到了最底级别。
话要说得难听一点,可以这么说: 都实名制了这些个人资料还算什么隐私啊,都不怕政府找上门了还怕什么民众啊,除了自己掩耳盗铃自认为是隐私之外,谁他妈当这些资料是隐私哇
这资料泄露应该怪罪政府的网络实名制。韩国就曾因为网络实名制导致个人资料从企业泄露,并且网络实名制妨碍言论自由违反宪法,最后还是得废除网络实名制度。
人不可能靠装睡来躲避灾难,也不可能靠让别人少做点什么来保护自己安全。虽然我的数据也能查到,但是我还是支持 Leask Huang 所做。
让一份数据安全的方式不是在已经泄漏的情况下隐藏,而是让其变得众所周知。一份已经泄漏的数据,如果保持只有部分人可使用,那么往往有巨大的商业价值,也能用来干很多坏事,但无论多大的隐私,一旦变成唾手可得,哪怕事实上他们确实具有异常高的价值,在完全公开化之后对当事人的害处反而也会变小。
这个道理一般人得想一想才能明白。但工程师,尤其是接触开源文化的工程师不需要动脑子,对于他们来说这是本能。
事实的情况是,如果这些数据泄漏某些损失,例如,造成了A和女友分手,那么通常情况是A本来就错了,无论泄漏不泄漏这份数据,都错。问题只是在于女友什么时候,通过什么渠道得知这一已经发生的事实,以及如何处理而已。这个信息无论是否从这个渠道泄漏,都不能把一件做错的事变成对的,只是暂时将它隐藏起来。
人类需要进化才能生存,但多数人尚未进化出在信息生活生存的能力,以及心态。
那些直觉认为分享酒店数据的人有错的人应该都是连看一下那些数据的能力都没有的人,所以他们要阻止别人看。直觉不一定是对的,这就是人类为什么要思考的原因之一。
大规模的泄露个人信息还会有下一次。
Wow, your vision is excellent. Keep up the good work. Andy in Africa.
没泄露的要远比泄露的更加可怕