評論：從如家開房信息泄露看各方責任

如家等酒店的開房信息被泄露只是一件不復雜的安全事件，但因為涉及到了眾多酒店，涉及到了大家都很敏感的個人隱私而備受關注。這件事情告訴我們，有IT就要有安全，所有人都應該有這根弦兒。

近日，一則“如家等酒店的開房信息被泄露”的消息被廣為報道。信息泄露的原因是浙江慧達驛站網絡有限公司(以下簡稱慧達驛站)開發的酒店WiFi認證管理系統存在漏洞。披露這一漏洞的正是著名的開放漏洞報告平台烏雲網。筆者查閲了幾個財經媒體對此事的報道，再對比烏雲網上公佈的漏洞情況，卻發現有些許出入。

根據烏雲網公佈的細節，這個漏洞並非源於什麼高深的技術威脅，而是慧達驛站的系統設計沒有在用户信息安全方面進行考慮。慧達驛站的WiFi管理系統的身份認證需要在慧達驛站的服務器進行，也就是説酒店用户用於登錄WiFi的身份認證信息可以通過該系統輕而易舉地被慧達驛站掌握。同時，系統又將認證信息在互聯網上進行明文傳輸，導致這些信息也讓黑客能輕易掌握。

烏雲網有着漏洞公佈流程，並非發現漏洞後即向公眾公開。大家都很清楚，對於互聯網漏洞，如果發現即公開，將帶來什麼樣的嚴重後果。就該漏洞的披露流程而言(這也是烏雲網大多數漏洞的公佈流程)，是漏洞被發現後便於8月21日通知廠商並向廠商公開，然後逐級在站內公開，至10月5日才將漏洞細節向公眾公開。當然，烏雲網上的未公開漏洞的概要信息等粗略信息同樣可以被查詢到，而且筆者也在烏雲網上查詢到了某些漏洞被標識為“未聯繫到廠商或者廠商消極忽略”而予以公開。

慧達驛站在漏洞修復後稱：“截至2013年10月8日，相關截屏的住客信息未發生實質性泄密結果。”可以説，烏雲網雖然公佈了該漏洞，但並未因此造成危害，相反正是烏雲網這一開放的漏洞提交、審核、處理、公佈平台，幫助很多廠商修復了各種漏洞，保障了系統和用户的安全。

一個並不複雜的安全漏洞，但因涉及眾多酒店的客户隱私而備受關注。雖然案情簡單，但折射出的東西值得我們思考。某些軟件廠商的安全和用户數據保護意識淡薄，用户(如酒店)在選擇軟件時是否有意識或者有能力考查軟件的安全性？對於初衷是提高互聯網安全性的開放的漏洞報告平台，我們應該採取什麼樣的態度，是否需要一些法律約束？

這件事情告訴我們，有IT就要有安全，所有人都應該有這根弦兒。

作者：程彥博