聲明：該文章來自（CnBeta）版權由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務。

一位安全研究人員表示，被數(shù)百上千家酒店采用的 Wi-Fi 互聯(lián)網(wǎng)網(wǎng)關存在一個嚴重漏洞，或導致賓客的個人信息面臨風險。Etizaz Mohsin 指出，Airangel HSMX 網(wǎng)關包含了“極其容易被猜到”的硬編密碼。利用這些未公開披露的憑據(jù)，攻擊者可遠程訪問網(wǎng)關設置和數(shù)據(jù)庫，最終導致存儲客戶 Wi-Fi 使用記錄的數(shù)據(jù)庫等信息泄露。

通過這種方式，攻擊者能夠染指并竊取訪客記錄，或重新配置網(wǎng)關的網(wǎng)絡設置，以在不知不覺中將受害者重定向至惡意網(wǎng)頁。

其實早在 2018 年，Etizaz Mohsin 就在其下榻的一家酒店的網(wǎng)絡上發(fā)現(xiàn)了一個行為異常的網(wǎng)關，當時其正在同步來自互聯(lián)網(wǎng)上另一臺服務器的文件。

Mohsin 指出其中包含包含了來自世界上一些最負盛名和昂貴酒店的數(shù)百上千份網(wǎng)關備份文件，且遠程服務器上收集存儲了“數(shù)以百萬計”的客戶姓名、電子郵件地址、入住 / 退房日期等隱私信息。

上報漏洞并讓服務器得到保護之后，Mohsin 開始思考另一個問題 —— 這些網(wǎng)關是否暗含可能導致數(shù)百家其它酒店面臨同樣風險的相關漏洞？最終，這位安全研究人員發(fā)現(xiàn)了五個可能危及網(wǎng)關（包括客戶信息）的漏洞。

Mohsin 向外媒分享了一張截圖，上面展示了某家易受攻擊的酒店網(wǎng)關管理界面，且其中有列出客戶的姓名、房間號和電子郵件地址。

（圖 via Brainworks.de）

讓人感到無語的是，盡管幾個月前就向 Airangel 報告了新發(fā)現(xiàn)的漏洞，這家總部位于英國的網(wǎng)絡設備制造商卻遲遲未能修復。

該公司一位銷售代表的答復是，Airangel 自 2018 年之后就停售了此類已不再受到支持的設備。然而現(xiàn)實是，這些遺留設備仍在被世界各地的酒店、商場和會議中心廣泛采用。

即使通過簡單的互聯(lián)網(wǎng)掃描，就可發(fā)現(xiàn) 600+ 仍有暴露風險的 Airangel 網(wǎng)關（實際設備數(shù)量可能更高），且大多數(shù)受影響的酒店都位于英國、德國、俄羅斯和中東市場。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/