品牌觀察  您所在的位置:紅商網(wǎng) >> 品牌觀察 >> 正文
7天酒店數(shù)據(jù)庫(kù)被盜 黑客網(wǎng)上叫賣會(huì)員信息
投訴—爆料—內(nèi)幕—線索—傳聞
http://ssvihum.com 2011-04-12 紅商網(wǎng) 評(píng)論 發(fā)布稿件
  會(huì)員人數(shù)超過1650萬,酒店總數(shù)逼近600家,在美國(guó)紐約證券交易所上市的7天連鎖酒店集團(tuán)無疑是國(guó)內(nèi)經(jīng)濟(jì)型連鎖酒店集團(tuán)的龍頭企業(yè)之一,但更多人所不知道的是,從去年開始,7天酒店在國(guó)內(nèi)黑客圈中成了“明星”。

  去年就被“刷庫(kù)”

  “我所知道的是,最早在去年8月2日,國(guó)內(nèi)安全圈子里就傳出了7天酒店官方網(wǎng)站被攻破,會(huì)員資料數(shù)據(jù)庫(kù)被刷走的消息。”互聯(lián)網(wǎng)安全專家一翔(化名)告訴《IT時(shí)報(bào)》記者。

  “我不清楚7天酒店是被哪個(gè)黑客攻破的,但那天我所在的幾個(gè)安全類的QQ群中都在談這件事,甚至群里面還有人給出了會(huì)員數(shù)據(jù)庫(kù)文件準(zhǔn)確的大小——562M左右。”一翔回憶道。

  數(shù)據(jù)庫(kù)被“刷”走,也被稱為“刷庫(kù)”、“爆庫(kù)”,是黑客圈子里面的行話,是指黑客利用企業(yè)網(wǎng)站存在的漏洞入侵,隨后下載并盜走企業(yè)網(wǎng)站服務(wù)器上的數(shù)據(jù)庫(kù)。

  一翔稱自己并不知道7天酒店當(dāng)時(shí)是否很快察覺數(shù)據(jù)庫(kù)被盜,也不清楚7天酒店是否及時(shí)修補(bǔ)好了漏洞。不過今年2月16日,正月十四,農(nóng)歷新年還沒過完,又一次傳來7天酒店會(huì)員數(shù)據(jù)庫(kù)被盜的消息。一翔告訴記者,這一次黑客利用了一個(gè)SQL數(shù)據(jù)庫(kù)漏洞再次入侵成功,“這個(gè)SQL漏洞在網(wǎng)站中很常見。2個(gè)月過去了,這個(gè)漏洞應(yīng)該已經(jīng)被補(bǔ)好了吧。”一翔表示。

  而據(jù)記者調(diào)查,在國(guó)內(nèi)一個(gè)位于廠商和安全研究者之間的漏洞報(bào)告平臺(tái)——WooYun上,7天酒店官方網(wǎng)站名下被羅列了3條漏洞,漏洞公布時(shí)間為今年2、3月。

  600萬會(huì)員數(shù)據(jù)被網(wǎng)上兜售

  事實(shí)上,即使7天酒店已經(jīng)修補(bǔ)好了網(wǎng)站漏洞,但黑客已經(jīng)開始在互聯(lián)網(wǎng)上公開售賣其會(huì)員數(shù)據(jù)庫(kù)文件。

  在騰訊微博上,一個(gè)名為“××刺客”的用戶發(fā)言稱,“出售7天假日所有聯(lián)網(wǎng)中心數(shù)據(jù),附帶會(huì)員注冊(cè)個(gè)人信息,會(huì)員等級(jí),開房信息,個(gè)人積分等全部數(shù)據(jù)。”同時(shí)該用戶還留下了一個(gè)聯(lián)系郵箱。

  記者通過網(wǎng)絡(luò)查詢后,得到了該用戶的QQ號(hào),在4月初與這名黑客取得了聯(lián)系。記者假稱自己是旅游行業(yè)人員,想購(gòu)買7天的會(huì)員數(shù)據(jù)庫(kù)。在交流中,該黑客明確告訴記者他手中確實(shí)有數(shù)據(jù)庫(kù),會(huì)員總數(shù)在600萬左右。當(dāng)記者稱愿意出價(jià)1000元購(gòu)買時(shí),該黑客在等待了幾分鐘后,稱自己比較忙,不賣了。隨后連續(xù)幾天,該黑客的QQ頭像始終處于離線狀態(tài),記者發(fā)出的10多條消息也無一回復(fù)。

  通過網(wǎng)絡(luò)查詢后,這名“刺客”在網(wǎng)絡(luò)上頗為活躍,他似乎是一個(gè)名叫“北洋賤隊(duì)”黑客組織中的重要人員之一。去年10月份,國(guó)內(nèi)IT專業(yè)網(wǎng)站cnBeta被黑就是該組織所為,目前還有多家中小型網(wǎng)站被其黑掉后,仍然未完全恢復(fù)。

  很巧合的是,在WooYun上,公布7天酒店論壇漏洞的是一個(gè)署名為“英雄”的用戶,其個(gè)人資料中同樣提到了“北洋賤隊(duì)”。

  客戶不愿意再住

  今年2月,國(guó)內(nèi)知名網(wǎng)站站長(zhǎng)泰伯(化名)第一時(shí)間了解到7天酒店數(shù)據(jù)庫(kù)被黑的情況,作為7天酒店的白金會(huì)員,他馬上在微博上向7天酒店報(bào)告了網(wǎng)站的安全漏洞,希望7天酒店能夠盡快解決。但是在微博上,7天酒店人士回應(yīng)稱,黑客提到的欲出售的7天假日與7天酒店并不是同一家企業(yè)。隨后泰伯表示,有7天酒店的人士在找人刪除網(wǎng)絡(luò)上有關(guān)酒店被刷庫(kù)的帖子。

  泰伯告訴《IT時(shí)報(bào)》記者,就在他微博公布7天酒店數(shù)據(jù)庫(kù)被黑消息不久,有匿名人士悄悄與他取得聯(lián)絡(luò),給他看了幾張數(shù)據(jù)庫(kù)文件的截圖,泰伯一眼就認(rèn)出,這個(gè)正是他留在7天酒店的會(huì)員數(shù)據(jù)。其中他的郵箱、身份證號(hào)碼、會(huì)員等級(jí)、注冊(cè)時(shí)間、最后登錄時(shí)間等信息赫然在目。

  泰伯稱,作為會(huì)員,把身份證甚至信用卡號(hào)碼等隱私信息放在7天酒店,就有權(quán)知道自己的個(gè)人信息是否安全,現(xiàn)在黑客從之前的攻擊、篡改內(nèi)容改為刷庫(kù),一旦數(shù)據(jù)庫(kù)被刷走,用戶的信息就會(huì)被盜用,甚至還會(huì)出現(xiàn)利用多個(gè)數(shù)據(jù)庫(kù)交叉對(duì)比,分析用戶行為來實(shí)施更高級(jí)的詐騙。

  “現(xiàn)在對(duì)7天酒店信心不足,如果他們不直面自己安全上的問題,我是不會(huì)再住他們的酒店了。”隨后泰伯將自己微博上有關(guān)7天酒店的信息全部刪除。他告訴記者,自己和7天酒店之間的交涉最后無疾而終。

  泰伯最后表示,國(guó)內(nèi)類似7天酒店這樣的連鎖酒店集團(tuán),都鼓勵(lì)用戶在他們網(wǎng)上訂房。“用戶一旦在網(wǎng)上訂房,數(shù)據(jù)庫(kù)就勢(shì)必被放在互聯(lián)網(wǎng)上,很容易被人攻破,而且對(duì)國(guó)內(nèi)很多類似酒店這樣的傳統(tǒng)行業(yè)來說,只要安全問題不影響收入,他們就不會(huì)重視。”

  不該存的信息不要存

  一翔對(duì)記者表示,對(duì)于網(wǎng)站來說,沒有所謂百分之百的安全,網(wǎng)站應(yīng)該做的是有意識(shí)地保護(hù)客戶的重要信息。“比如以前電子商務(wù)網(wǎng)站里面可能會(huì)有非常詳細(xì)的信用卡信息,包括卡號(hào)、用戶名、地址、有效期、校驗(yàn)碼等等,但是現(xiàn)在大型的電子商務(wù)網(wǎng)站很少會(huì)存這些東西在數(shù)據(jù)庫(kù)了。對(duì)于電子商務(wù)網(wǎng)站來說,涉及到信用卡支付應(yīng)該是銀行的事情,網(wǎng)站只要知道是否支付成功就行了,不需要記錄完整的信息,凡是不需要的信息,都不需要保存。”

  一翔認(rèn)為,對(duì)于連鎖酒店來說,身份證信息完全沒必要記錄在自己的數(shù)據(jù)庫(kù)中,會(huì)員只要入住登記的時(shí)候提供身份證就行了,完全不必在自己的公開網(wǎng)站的數(shù)據(jù)庫(kù)上保存,純屬增加風(fēng)險(xiǎn)。關(guān)于會(huì)員預(yù)訂情況等信息,也要想辦法做隱藏或者加密。

  至截稿(4月7日)時(shí),《IT時(shí)報(bào)》記者從另外途徑了解,7天酒店最近正在積極找安全廠商解決其網(wǎng)站和酒店的網(wǎng)絡(luò)安全問題,“據(jù)說很著急,而且不差錢。”

  如何防范“網(wǎng)絡(luò)大盜”?

  就企業(yè)網(wǎng)站如何防范數(shù)據(jù)庫(kù)被盜,用戶應(yīng)該如何自我保護(hù)等問題,《IT時(shí)報(bào)》記者訪問了專業(yè)安全廠商邁克菲(Mcafee)技術(shù)產(chǎn)品經(jīng)理李明。

  《IT時(shí)報(bào)》:在網(wǎng)站防止被黑(不包括DDOS等與網(wǎng)絡(luò)訪問有關(guān)的攻擊)方面,大致要做哪些保護(hù)措施?

  李明:網(wǎng)站被黑有各種不同的程度或后果,一般說來,根據(jù)網(wǎng)站規(guī);騼(nèi)容的不同,可考慮以下保護(hù)措施。

  上線前可利用Web評(píng)估軟件,針對(duì)自己的網(wǎng)站進(jìn)行安全評(píng)估,也可請(qǐng)外部專家進(jìn)行滲透測(cè)試,以發(fā)現(xiàn)網(wǎng)站的薄弱環(huán)節(jié)。上線后,針對(duì)網(wǎng)站的掃描部署入侵防護(hù)系統(tǒng)(IPS)進(jìn)行保護(hù)。

  針對(duì)網(wǎng)站用戶密碼的破解,可通過一次性口令、手機(jī)短信校驗(yàn)碼、強(qiáng)制口令強(qiáng)度、采用HTTPS連接等輔助手段增強(qiáng)口令強(qiáng)度,除此之外還需要堅(jiān)持用戶的安全教育。

  《IT時(shí)報(bào)》:大多數(shù)網(wǎng)站服務(wù)器上都帶有數(shù)據(jù)庫(kù),在面對(duì)可能被“刷庫(kù)”風(fēng)險(xiǎn)下,數(shù)據(jù)庫(kù)設(shè)計(jì)環(huán)節(jié)需要做好哪些保護(hù),以減少可能被刷庫(kù)所帶來的損失?

  李明:在網(wǎng)站設(shè)計(jì)時(shí),設(shè)計(jì)人員需要對(duì)數(shù)據(jù)庫(kù)安全有必要的了解,如果有可能,可在開發(fā)團(tuán)隊(duì)中增加負(fù)責(zé)安全架構(gòu)的角色。在上線前需要進(jìn)行全面的安全評(píng)估,注意社交工程、釣魚軟件的威脅。

  《IT時(shí)報(bào)》:現(xiàn)在有個(gè)觀點(diǎn),網(wǎng)站只要一連互聯(lián)網(wǎng),就存在被黑掉的可能性,沒有百分之百的安全?

  李明:如果是改寫頁(yè)面或者進(jìn)入后臺(tái)的話,目前還不能說所有的網(wǎng)站都能被黑掉。我更傾向同意任何網(wǎng)站都必須重視安全,否則就有被黑掉的可能性。

  《IT時(shí)報(bào)》:就邁克菲的了解,目前國(guó)內(nèi)旅游、酒店類網(wǎng)站數(shù)據(jù)庫(kù)被刷的情況是不是很普遍?

  李明:存在這樣的情況,但無法證實(shí)這是否普遍現(xiàn)象。

  《IT時(shí)報(bào)》:從用戶個(gè)人的角度來說,如何降低自己的信息由于網(wǎng)站被黑而泄露出去的風(fēng)險(xiǎn)?

  李明:用戶要認(rèn)真閱讀網(wǎng)站的相關(guān)協(xié)議,謹(jǐn)慎選擇上傳自己的信息,尤其是包含身份、住址、肖像、銀行卡在內(nèi)的敏感信息。但是歸根到底,除了謹(jǐn)慎小心,用戶并不能對(duì)自己的信息保護(hù)努力做出更多,用戶需要明白,信息上傳到網(wǎng)站就不受自己所控制,就有泄漏的風(fēng)險(xiǎn)。

來源:IT時(shí)報(bào)   責(zé)編:唐小婉
【鄭重聲明】此文不代表紅商網(wǎng)商報(bào)同意其說法或描述,本網(wǎng)站不轉(zhuǎn)載或自行采寫國(guó)務(wù)院公布的《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》中所定義之“有關(guān)政治、經(jīng)濟(jì)、軍事、外交等社會(huì)公共事務(wù)的報(bào)道、評(píng)論,以及有關(guān)社會(huì)突發(fā)事件的報(bào)道、評(píng)論”。作為零售商業(yè)門戶,紅商網(wǎng)商報(bào)僅提供零售相關(guān)產(chǎn)業(yè)領(lǐng)域的商業(yè)信息,以更好地服務(wù)于零售商業(yè)。來源非紅商網(wǎng)的,皆轉(zhuǎn)載自其它媒體。若有不妥之處,請(qǐng)聯(lián)系news#linkmall.cn或來源。
 相關(guān)閱讀
·7天酒店被“刷庫(kù)” 600萬會(huì)員數(shù)據(jù)被兜售 2011年04月11日
·7天連鎖酒店獲6500萬美元注資 2011年04月09日
·87天男嬰發(fā)燒死亡 家屬抗議醫(yī)方不及時(shí)救治 2011年03月22日
·7天連鎖酒店為收購(gòu)莫泰做前期準(zhǔn)備 2011年03月21日
搜索更多: 7天