外泄的個人住店信息，包括姓名、性別、出生日期、身份證號、住址、手機號碼、工作單位等信息，有人制成名為“2000W開房數據”的文件傳到網絡，網民以每天近4萬次的頻率下載。《法制晚報》記者統計發現，2000萬條酒店個人住店信息中，北京人的信息有220754條。

北京人信息22萬條外泄

含姓名、出生日期、身份證號、住址、手機號等 年輕女性數據近3萬條 易引發詐騙和名譽侵權

泄露事件系因眾多酒店使用了浙江慧達驛站公司開發的酒店Wi-Fi管理、認證系統，而該公司加密等級低，導致信息泄露事件發生。

延伸采訪

涉事網絡公司 為4500家酒店服務

“2000W開房數據”文件中，沒有注明入住的酒店名稱。但浙江慧達驛站網絡有限公司官方網站顯示，該公司業務覆蓋除西藏的31個省市自治區的110多個城市，為4500多家星級和經濟連鎖酒店提供各種服務。

如今，慧達驛站公司官網的“合作伙伴”一欄已經無法點擊進入。但“公司介紹”欄目下的文字顯示，該公司是如家數碼房唯一指定供應商。

率先披露此事的國內安全漏洞監測平臺烏云網，曾公布一張截圖，上面是與浙江慧達驛站公司合作的部分經濟型連鎖酒店名單，包括如家、漢庭、格林豪泰、布丁、錦江之星等20家。

上午，錦江之星、布丁和格林豪泰酒店均向記者表示，其Wi-Fi認證、管理系統不是與浙江慧達驛站網絡有限公司合作建立的。

格林豪泰方面還表示，其Wi-Fi認證、管理系統是自己研發的，其以前和慧達驛站公司有過網絡以外方面的合作，烏云網雖然披露了合作酒店名單截圖，但只能說明慧達驛站公司把與其進行過各類合作的酒店都列了上去。

記者上午也聯系了如家酒店，但客服人員提供的公司總機號碼，記者多次撥打一直沒人接聽。

北京人住店信息 有220754條

如今，“2000W開房數據”仍能正常地從網上下載。記者下載數據文件后進行了統計分析。

根據本報統計，酒店入住信息中，住址在北京的有220754條信息。

記者進一步統計發現，在這些涉及北京人的酒店入住信息中，涉及男性入住者的占六成多，涉及女性入住者的占近四成。

在30歲至60歲年齡段，北京男性是女性的1.9倍。但在18歲至30歲這一年齡段，北京男性僅為女性的1.2倍。

網曝開房信息 頗受網友關注

據知情人介紹，“2000W開房數據”在網上出現后，以每天近4萬次的頻率被人們瘋狂下載。好事者又把它重新編輯成多個版本，如“18-30歲mm開房數據”等。

“18-30歲mm開房數據”中，包含住址在北京的18歲至30歲女性酒店入住信息29063條。

網上還出現多個替人查開房信息的網站，其中一個網址為“www. zhaokaifang.com”的網頁“頗受歡迎”。記者選取“張燕”、“李剛”等常見姓名查詢，均能查到千人左右。有媒體報道稱，這些查詢網站為防止被關閉，紛紛將服務器設到國外，讓警方束手無策。

個人信息全暴露 易遭電話詐騙

上海市律師協會信息網絡與高新技術專業委員會主任商建剛向《法制晚報》記者表示，“2000W開房數據”隨時會給信息被泄露者帶來各種風險。

這些數據，一般則被用于各種煩人的電話營銷，嚴重則被不法分子用于電話詐騙。在電話詐騙案中，不法分子掌握事主的個人信息越全面，事主越容易上當。

同時，不排除不懷好意者會在論壇、微博等處公布他人信息，侵犯他人隱私或散布謠言侵害他人名譽。

數據服務商 承認有信息安全漏洞

浙江慧達驛站網絡有限公司官方網站顯示，該公司的使命是“改善酒店網絡生態”，愿景是“打造中國商旅人群最適用的網絡平臺，成為最專業的IT服務提供商”，致力于“降低IT復雜度和IT成本”。

事件發生后，浙江慧達驛站公司發布通告，承認無線系統存在信息安全加密等級較低問題，有信息泄漏的安全隱患，事件發生后技術團隊已經將系統全面升級。

該公司對被泄露個人信息的酒店顧客表達了歉意，并稱系統安全性問題與所有酒店客戶無關。

記者從由國家計算機網絡應急技術處理協調中心聯合互聯網企業等建立的“國家信息安全漏洞共享平臺”上，看到了“關于浙江慧達驛站網絡有限公司無線認證數據通道服務器漏洞風險的處置情況公告”。

這則公告稱，浙江慧達驛站公司確實存在無線認證數據通道服務器漏洞風險，但已經進行了修復處置。“國家信息安全漏洞共享平臺”將繼續跟蹤此事，做好應急處置工作。

事件探因 酒店Wi-Fi系統不完善 導致事發

據烏云網的工作人員介紹，涉事酒店使用了浙江慧達驛站網絡有限公司開發的酒店Wi-Fi管理、認證系統，而問題由此產生。

一位長期從事信息安全工作的專業人士告訴記者，目前，幾乎所有酒店都有Wi-Fi覆蓋。為了保證實名上網，在酒店上Wi-Fi需要身份驗證。這些信息都要匯總給提供Wi-Fi服務的網絡公司。

漏洞的根源在于慧達驛站公司管理機制不完善，其系統要求酒店在提交入住記錄時進行網頁認證，但不是在酒店服務器上，而是要通過浙江慧達驛站公司自己的服務器，于是后者就存下了客戶的信息。

浙江慧達驛站公司在服務器上實時存儲了酒店客戶的信息，并允許相關對象或需求方下載、讀取。盡管設有密碼驗證，但客戶信息在數據同步傳輸時所使用的認證用戶名、密碼都是明文傳輸，即在密碼驗證過程中未對傳輸數據加密，而這很容易導致黑客截獲明文密碼，然后憑借這個密碼下載酒店用戶數據。

無線網架設投入大 故選第三方服務

北京某網絡安全公司經理白先生表示，酒店內的Wi-Fi覆蓋是隨著酒店業發展而興起的一項常規服務。

無線網的架設需要基站，但投入成本過大，還需要專人維護。在這種情況下，很多酒店選擇和網絡服務商合作，由網絡服務商來提供無線網絡服務及服務器。

白經理認為，直接讓第三方公司來管理酒店客戶信息，本身就增加了泄密的可能性。從信息安全角度出發，酒店如果選擇第三方服務的方式，就應提高合作準入門檻。

涉案酒店 被指缺數據保護措施

在白經理看來，2000萬開房信息泄漏事件說明我國酒店行業的數據管理還不太成熟。

從事信息安全工作的專業人士告訴記者，如今很多酒店都在忙著跑馬圈地，但忽略了入住客戶個人信息的管理。

他給企業做信息安全培訓時曾明顯感到，企業負責人往往只關注企業自身的財務信息安全，而對維護其他方面的信息安全十分不屑。

該人士表示，眾多酒店的安全隱患排除工作做得不到位，在個人信息數據保護上缺乏管理措施，是釀成信息安全事件的關鍵。

使用了浙江慧達驛站公司Wi-Fi管理、認證系統的酒店，客戶在接入Wi-Fi時，需要登錄浙江慧達驛站公司的服務器進行網頁認證。

該人士稱，由于系統設計缺陷，導致客戶信息很容易被竊取。

該人士表示，如果涉事酒店能對上傳的客戶信息有嚴格的管理權限措施，就能避免事件發生。

“比如，在銀行業，一段18個字符的權限操作密碼會由3個人分段管理，每個人只知道自己掌控的那6個字符。需要操作系統時，這3個人先分別輸入自己掌握的密碼部分，驗證成功后再由不掌握密碼字符的其他人進行操作。”他說，雖然這樣做很繁瑣，但足可以保證信息安全。

業內說法 泄露事件 或影響酒店業信譽度

北京某四星級酒店客服部主管孫田(化名)向《法制晚報》記者表示，即使酒店客人不使用Wi-Fi，也必須登記詳細的客戶信息。

《旅館業治安管理辦法》第六條規定，旅館接待旅客住宿必須登記。以前，登記方式是前臺人員手寫登記，如今都是通過電腦錄入方式登記，酒店的服務器就會把這些信息存儲下來。登記后，客人信息會迅速傳遞給屬地派出所，方便公安機關工作。

作為在酒店行業工作多年的“老人兒”，他對此事件深表擔憂。他認為，2000萬入住酒店客戶信息泄露事件，會影響到整個酒店業的信譽度。

孫田認為，酒店要從思想上重視住店客人的個人信息保護，酒店應承擔起個人信息管理工作，投入財力，完善管理系統。

文/記者 毛占宇 實習生 謝伯祺