7天酒店数据库被盗 黑客网上叫卖会员信息

会员人数超过1650万，酒店总数逼近600家，在美国纽约证券交易所上市的7天连锁酒店集团无疑是国内经济型连锁酒店集团的龙头企业之一，但更多人所不知道的是，从去年开始，7天酒店在国内黑客圈中
成了“明星”。去年就被“刷库”“我所知道的是，最早在去年8月2日，国内安全圈子里就传出了7天酒店官方网站被攻破，会员资料数据库被刷走的消息。”互联网安全专家一翔(化名)告诉记者。“我不清楚7天酒店是被哪个黑客攻破的，但那天我所在的几个安全类的QQ群中都在谈这件事，甚至群
里面还有人给出了会员数据库文件准确的大小——562M左右。”一翔回忆道。数据库被“刷”走，也被称为“刷库”、“爆库”，是黑客圈子里面的行话，是指黑客利用企业网站存在的漏洞入侵，随后下载并盗走企业网站服务器上的数据库。一翔称自己并不知道7天酒店当时是否很快察觉数据库被盗，也不清楚7天酒店是否及时修补好了漏洞。不过今年2月16日，正月十四，农历新年还没过完，又一次传来7天酒店会员数据库被盗的消息。一翔告诉记者，这一次黑客利用了一个SQL数据库漏洞再次入侵成功，“这个SQL漏洞在网站中很常见。2个月过去了，这个漏洞应该已经被补好了吧。”一翔表示。而据记者调查，在国内一个位于厂商和安全研究者之间的漏洞报告平台——WooYun上，7天酒店官方网站名下被罗列了3条漏洞，漏洞公布时间为今年2、3月。600万会员数据被网上兜售事实上，即使7天酒店已经修补好了网站漏洞，但黑客已经开始在互联网上公开售卖其会员数据库文件。在腾讯微博上，一个名为“××刺客”的用户发言称，“出售7天假日所有联网中心数据，附带会员注册个人信息，会员等级，开房信息，个人积分等全部数据。”同时该用户还留下了一个联系邮箱。记者通过网络查询后，得到了该用户的QQ号，在4月初与这名黑客取得了联系。记者假称自己是旅游行业人员，想购买7天的会员数据库。在交流中，该黑客明确告诉记者他手中确实有数据库，会员总数在600万左右。当记者称愿意出价1000元购买时，该黑客在等待了几分钟后，称自己比较忙，不卖了。随后连续
几天，该黑客的QQ头像始终处于离线状态，记者发出的10多条消息也无一回复。通过网络查询后，这名“刺客”在网络上颇为活跃，他似乎是一个名叫“北洋贱队”黑客组织中的重要人员之一。去年10月份，国内IT专业网站cnBeta被黑就是该组织所为，目前还有多家中小型网站被其黑掉后，仍然未完全恢复。很巧合的是，在WooYun上，公布7天酒店论坛漏洞的是一个署名为“英雄”的用户，其个人资料中
同样提到了“北洋贱队”。客户不愿意再住今年2月，国内知名网站站长泰伯(化名)第一时间了解到7天酒店数据库被黑的情况，作为7天酒店的白金会员，他马上在微博上向7天酒店报告了网站的安全漏洞，希望7天酒店能够尽快解决。
但是在微博上，7天酒店人士回应称，黑客提到的欲出售的7天假日与7天酒店并不是同一家企业。随后泰伯表示，有7天酒店的人士在找人删除网络上有关酒店被刷库的帖子。泰伯告诉记者，就在他微博公布7天酒店数据库被黑消息不久，有匿名人士悄悄与他取得联络，给他看了几张数据库文件的截图，泰伯一眼就认出，这个正是他留在7天酒店的会员数据。其中他的邮箱、身份证号码、会员等级、注册时间、最后登录时间等信息赫然在目。泰伯称，作为会员，把身份证甚至信用卡号码等隐私信息放在7天酒店，就有权知道自己的个人信息是否安全，现在黑客从之前的攻击、篡改内容改为刷库，一旦数据库被刷走，用户的信息就会被盗用，甚至还会出现利用多个数据库交叉对比，分析用户行为来实施更高级的诈骗。“现在对7天酒店信心不足，如果他们不直面自己安全上的问题，我是不会再住他们的酒店了。”随后泰伯将自己微博上有关7天酒店的信息全部删除。他告诉记者，自己和7天酒店之间的交涉最后无疾而终。泰伯最后表示，国内类似7天酒店这样的连锁酒店集团，都鼓励用户在他们网上订房。“用户一旦在网上订房，数据库就势必被放在互联网上，很容易被人攻破，而且对国内很多类似酒店这样的传统行业来说，只要安全问题不影响收入，他们就不会重视。”不该存的信息不要存一翔对记者表示，对
于网站来说，没有
所谓百分之百的安全，网站应该做的是有意识地保护客户的重要信息。“比如以前电子商务网站里面可能会有非常详细的信用卡信息，包括卡号、用户名、地址、有效期、校验码等等，但是现在大型的电子商务网站很少会存这些东西在数据库了。对于电子商务网站来说，涉及到信用卡支付应该是银行的事情，网站只要知道是否支付成功就行了，不需要记录完整的信息，凡是不需要的信息，都不需要保存。”一翔
认为，对于连锁酒店来说，身份证信息完全没必要记录在自己的数据库中，会员只要入住登记的时候提供身份证就行了，完全不必在自己的公开网站的数据库上保存，纯属增加风险。关于会员预订情况等信息，也要想办法做隐藏或者加密。至截稿(4月7日)时，记者从另外途径了解，7天酒店最近正在积极找安全厂商解决其网站和酒店的网络安全问题，“据说很着急，而且不差钱。”如何防范“网络大盗”？就企业网站如何防范数据库被盗，用户应该如何自我保护等问题，记者访问了专业安全厂商迈克菲(M
cafee)技术产品经理李明。记者：在网站防止被黑(不包括DDOS等与网络访问有关的攻击)方面，大致要做哪些保护措施？李明：网站被黑有各种不同的程度或后果，一般说来，根据网站规模或内容的不同，可考虑以下保护措施。上线前可利用Web评估软件，针对自己的网站进行安全评估，也可请外部专家进行渗透测试，以发现网站的薄弱环节。上线后，针对网站的扫描部署入侵防护系统(IPS)进行保护。针对网站用户密码的破解，可通过一次性口令、手机短信校验码、强制口令强度、采用HTTPS连接等辅助手段增强口令强度，除此之外还需要坚持用户的安全教育。记者：大多数网站服务器上都带有数据库，在面对可能被“刷库”风险下，数据库设计环节需要做好哪些保护，以减少可能被刷库所带来的损失？李明：在网站设计时，设计人员需要对数据库安全有必要的了解，如果有可能，可在开发团队中增加负责安全架构的角色。在上线前需要进行全面的安全评估，注意社交工程、钓鱼软件的威胁。记者：现在有个观点，网站只要一连互联网，就存在被黑掉的可能性，没有百分之百的安全？李明：如果是改写页面或者进入后台的话，目前还不能说所
有的网站都能被黑掉。我更倾向同意任何网站都必须重视安全，否则就有被黑掉的可能性。记者：就迈克菲的了解，目前国内旅游、酒店类网站数据库被刷的情况是不是很普遍？李明：存在这样的情况，但无法证实这是否普遍现象。记者：从用户个人的角度来说，如何降低自己的信息由于网站被黑而泄露出去的风险？李明：用户要认真阅读网站的相关协议，谨慎选择上传自己的信息，尤其是包含身份、住址、肖像、银行卡在内的敏感信息。但是归根到底，除了谨慎小心，用户并不能对自己的信息保护努力做出更多，用户需要明白，信息上传到网站就不受自己所控制，就有泄漏的风险。