一份被泄露的酒店開(kāi)房記錄正在形成一團烏云，讓牽涉其中的如家、華住和錦江之星等知名連鎖酒店措手不及，上周末，它們都在忙著(zhù)擬寫(xiě)聲明。

　　日前，國內安全漏洞監測平臺烏云網(wǎng)發(fā)布報告稱(chēng)，如家、漢庭等大批酒店的開(kāi)房記錄因存在第三方存儲和系統漏洞而被泄露。昨日，如家、華住、港中旅、錦江之星等紛紛發(fā)表聲明，稱(chēng)不涉及泄露資料。

　　法律界人士則表示，烏云網(wǎng)的手法游走在“灰色地帶”，涉嫌侵權，目前，酒店客戶(hù)資料安全管理的確是個(gè)問(wèn)題，但不應通過(guò)公之于眾的方式進(jìn)行。

　　公布開(kāi)房記錄是按流程操作烏云網(wǎng)報告稱(chēng)，如家、咸陽(yáng)國貿、杭州維景國際和驛家365快捷等全部或者部分使用了浙江慧達驛站網(wǎng)絡(luò )有限公司（下稱(chēng)“浙江慧達”）開(kāi)發(fā)的酒店WiFi管理、認證管理系統。而浙江慧達在服務(wù)器上實(shí)時(shí)存儲了這些酒店客戶(hù)的記錄，包括客戶(hù)名、身份證號、開(kāi)房日期和房間號等隱私信息。因浙江慧達系統存在漏洞，使這些信息存在被泄露的風(fēng)險。

　　2010年5月上線(xiàn)的烏云網(wǎng)，是一家網(wǎng)絡(luò )漏洞報告平臺，用戶(hù)在這里自由上傳漏洞信息，等待廠(chǎng)商核實(shí)并修復；因先后被曝出CSDN、天涯、當當、京東商城等網(wǎng)站存在安全漏洞，于2011年聲名鵲起。

　　業(yè)內人士“不喝可樂(lè )男”告訴《第一財經(jīng)日報》，它在圈內很知名，烏云網(wǎng)就是一個(gè)“黑客”聚集之地。不過(guò)，他們都是“白帽子”。“白帽子”們的戰斗方式是：挖掘網(wǎng)站中的安全漏洞，在“黑帽子”利用它們之前，提交到平臺上，或者向廠(chǎng)商報告，希望廠(chǎng)商及時(shí)進(jìn)行修復。

　　在“黑客”的世界中，可被分為三種類(lèi)型，第一類(lèi)：白帽子，也即正面的“黑客”，他可以識別計算機系統或網(wǎng)絡(luò )系統中的安全漏洞，但并不會(huì )惡意去利用，而是公布其漏洞，讓系統在被其他人利用之前來(lái)修補漏洞；第二類(lèi)：灰帽子，他們擅長(cháng)攻擊技術(shù)，但不輕易造成破壞；他們精通攻擊與防御，同時(shí)頭腦里具有信息安全體系的宏觀(guān)意識；第三類(lèi)：黑帽子，他們研究攻擊技術(shù)，唯一的目的就是惹是生非。

　　“我們并不是一個(gè)組織，只是一個(gè)平臺聚集了一些愛(ài)好安全技術(shù)的人。很多白帽子都來(lái)這里分享漏洞，也只有得到核實(shí)并已經(jīng)采取防范措施解決問(wèn)題后才會(huì )被公開(kāi)。”昨日，烏云網(wǎng)相關(guān)負責人向記者證實(shí)，該漏洞早在8月21日就已被發(fā)現，在通知廠(chǎng)商后，按照流程于10月5日進(jìn)行了公開(kāi)，而消息在10月10日散布到了大眾網(wǎng)絡(luò )。

　　“雖然浙江慧達說(shuō)已升級了系統堵上了漏洞，但在漏洞未發(fā)現前的這一段時(shí)間內，這些開(kāi)房記錄依然有已經(jīng)被竊取泄露的風(fēng)險。”上述人士稱(chēng)，這次發(fā)布其實(shí)透露了一種擔心——既然他們可以拿到賓館的住宿信息，那么就不能排除還有其他人早于他們竊取相關(guān)資料的可能，“我們實(shí)際上保護的是廠(chǎng)商的用戶(hù)，但是很多廠(chǎng)商基于公關(guān)的考慮，都極力回避（安全漏洞）這些問(wèn)題，所以我們想借這個(gè)平臺來(lái)更好地做這個(gè)事情。”

　　烏云網(wǎng)法務(wù)顧問(wèn)趙占領(lǐng)律師也表示，此次泄露事件其實(shí)僅僅是流程中的一次普通發(fā)布。

　　上述烏云網(wǎng)負責人稱(chēng)，涉事酒店全部或者部分使用了浙江慧達開(kāi)發(fā)的酒店WiFi管理、認證管理系統。而事情就由此而起——簡(jiǎn)單地說(shuō)，由于各個(gè)酒店使用了這套系統，因此該公司在其服務(wù)器上實(shí)時(shí)存儲了這些酒店客戶(hù)的記錄，由于客戶(hù)信息在數據同步時(shí)所使用的認證用戶(hù)名、密碼都是明文傳輸的（正是這點(diǎn)讓泄露出現了可能），很容易就可以被專(zhuān)業(yè)人員從其數據服務(wù)器上獲得酒店上傳的客戶(hù)信息。

　　安全與侵權隱患目前，連鎖酒店的無(wú)線(xiàn)IT系統通常有兩種管理模式，一為自行研發(fā)；二為使用第三方系統。前者需要不菲的研發(fā)資金和人力，相對而言安全把控性高；后者研發(fā)投入低，但存在安全風(fēng)險。

　　本次泄露風(fēng)波的關(guān)鍵當事方就是被指存在漏洞的浙江慧達。

　　浙江慧達方面表示，經(jīng)查證，無(wú)線(xiàn)門(mén)戶(hù)系統存在信息安全加密等級較低問(wèn)題，有信息泄漏的安全隱患，浙江慧達的技術(shù)團隊針對現有無(wú)線(xiàn)門(mén)戶(hù)認證系統已完成全面升級，感謝烏云網(wǎng)對浙江慧達提升產(chǎn)品安全性的幫助。有關(guān)無(wú)線(xiàn)門(mén)戶(hù)系統的安全性問(wèn)題，是浙江慧達的責任，與任何酒店客戶(hù)無(wú)關(guān)。浙江慧達同時(shí)聲明，在無(wú)線(xiàn)門(mén)戶(hù)業(yè)務(wù)領(lǐng)域與漢庭酒店、咸陽(yáng)國貿大酒店、杭州維景國際大酒店、驛家365快捷酒店、東莞虎門(mén)東方索菲特酒店客戶(hù)沒(méi)有合作關(guān)系。

　　昨日，如家方面向記者表示，與其合作的無(wú)線(xiàn)信息技術(shù)服務(wù)供應商確實(shí)是浙江慧達，酒店對此非常重視，已與浙江慧達方面配合，對漏洞進(jìn)行了檢查和修補。如家同時(shí)稱(chēng)，將吸取此次教訓，建立長(cháng)效機制，未來(lái)將“確保顧客安全”。

　　而華住及錦江之星方面均表示，在無(wú)線(xiàn)項目上與浙江慧達并無(wú)合作。華住方面還表示，保留對烏云網(wǎng)進(jìn)一步追訴的權利。

　　浙江慧達市場(chǎng)總監韓先生在接受記者采訪(fǎng)時(shí)稱(chēng)，對于造成的損失，單純是技術(shù)層面的，沒(méi)有直接造成客戶(hù)信息的泄露。目前，其安全等級已經(jīng)達到國家應急中心的檢測標準，并確認修復漏洞。

　　韓先生再次重申，與漢庭等酒店的合作，并沒(méi)有在WiFi門(mén)戶(hù)系統認證這一塊，而是其他產(chǎn)品。

　　記者昨日登錄浙江慧達網(wǎng)站，點(diǎn)擊其合作伙伴一欄，顯示“系統正在維護中”而無(wú)法訪(fǎng)問(wèn)。

　　此外，針對烏云網(wǎng)發(fā)布的有關(guān)浙江慧達無(wú)線(xiàn)門(mén)戶(hù)認證的漏洞，國家互聯(lián)網(wǎng)應急中心（CNCERT）運行管理部的有關(guān)人士對浙江慧達實(shí)施的修復措施進(jìn)行了針對性的檢查，確認該漏洞已被修復。

　　“據業(yè)內反映，與浙江慧達進(jìn)行無(wú)線(xiàn)合作的酒店不多，但全國數千家酒店，總有部分酒店使用過(guò)浙江慧達的電腦租賃，而使用其電腦也存在風(fēng)險，因此安全隱患需重視。”一位經(jīng)濟型酒店業(yè)者指出。

　　“從法律角度來(lái)講，烏云網(wǎng)被業(yè)界認為是通過(guò)一些‘黑客’手段尋找漏洞，按此說(shuō)法，烏云網(wǎng)本身涉嫌侵權，因為其通過(guò)非正當手段獲取數據尋找漏洞。假如烏云網(wǎng)是一名‘善意的黑客’，其目的僅是為幫助企業(yè)修補漏洞，那么烏云網(wǎng)應該私下就找出的漏洞與企業(yè)溝通，而不是公之于眾。要知道酒店登記入住涉及個(gè)人隱私和資料，一旦信息被泄露不僅涉嫌對企業(yè)侵權，也涉嫌對個(gè)人侵權，假如客人因此狀告酒店而酒店再以侵權狀告烏云網(wǎng)，那么烏云網(wǎng)就會(huì )很麻煩。”上海袁圓律師事務(wù)所陳軍律師分析。