7天酒店數據庫被盜 黑客網上叫賣會員信息
會員人數超過1650萬,酒店總數逼近600家,在美國紐約證券交易所上市的7天連鎖酒店集團無疑是國內經濟型連鎖酒店集團的龍頭企業之一,但更多人所不知道的是,從去年開始,7天酒店在國內黑客圈中成了“明星”。
去年就被“刷庫”
“我所知道的是,最早在去年8月2日,國內安全圈子里就傳出了7天酒店官方網站被攻破,會員資料數據庫被刷走的消息。”互聯網安全專家一翔(化名)告訴記者。
“我不清楚7天酒店是被哪個黑客攻破的,但那天我所在的幾個安全類的QQ群中都在談這件事,甚至群里面還有人給出了會員數據庫文件準確的大小——562M左右。”一翔回憶道。
數據庫被“刷”走,也被稱為“刷庫”、“爆庫”,是黑客圈子里面的行話,是指黑客利用企業網站存在的漏洞入侵,隨后下載并盜走企業網站服務器上的數據庫。
一翔稱自己并不知道7天酒店當時是否很快察覺數據庫被盜,也不清楚7天酒店是否及時修補好了漏洞。不過今年2月16日,正月十四,農歷新年還沒過完,又一次傳來7天酒店會員數據庫被盜的消息。一翔告訴記者,這一次黑客利用了一個SQL數據庫漏洞再次入侵成功,“這個SQL漏洞在網站中很常見。2個月過去了,這個漏洞應該已經被補好了吧。”一翔表示。
而據記者調查,在國內一個位于廠商和安全研究者之間的漏洞報告平臺——WooYun上,7天酒店官方網站名下被羅列了3條漏洞,漏洞公布時間為今年2、3月。
600萬會員數據被網上兜售
事實上,即使7天酒店已經修補好了網站漏洞,但黑客已經開始在互聯網上公開售賣其會員數據庫文件。
在騰訊微博上,一個名為“××刺客”的用戶發言稱,“出售7天假日所有聯網中心數據,附帶會員注冊個人信息,會員等級,開房信息,個人積分等全部數據。”同時該用戶還留下了一個聯系郵箱。
記者通過網絡查詢后,得到了該用戶的QQ號,在4月初與這名黑客取得了聯系。記者假稱自己是旅游行業人員,想購買7天的會員數據庫。在交流中,該黑客明確告訴記者他手中確實有數據庫,會員總數在600萬左右。當記者稱愿意出價1000元購買時,該黑客在等待了幾分鐘后,稱自己比較忙,不賣了。隨后連續幾天,該黑客的QQ頭像始終處于離線狀態,記者發出的10多條消息也無一回復。
通過網絡查詢后,這名“刺客”在網絡上頗為活躍,他似乎是一個名叫“北洋賤隊”黑客組織中的重要人員之一。去年10月份,國內IT專業網站cnBeta被黑就是該組織所為,目前還有多家中小型網站被其黑掉后,仍然未完全恢復。
很巧合的是,在WooYun上,公布7天酒店論壇漏洞的是一個署名為“英雄”的用戶,其個人資料中同樣提到了“北洋賤隊”。
客戶不愿意再住
今年2月,國內知名網站站長泰伯(化名)第一時間了解到7天酒店數據庫被黑的情況,作為7天酒店的白金會員,他馬上在微博上向7天酒店報告了網站的安全漏洞,希望7天酒店能夠盡快解決。但是在微博上,7天酒店人士回應稱,黑客提到的欲出售的7天假日與7天酒店并不是同一家企業。隨后泰伯表示,有7天酒店的人士在找人刪除網絡上有關酒店被刷庫的帖子。
泰伯告訴記者,就在他微博公布7天酒店數據庫被黑消息不久,有匿名人士悄悄與他取得聯絡,給他看了幾張數據庫文件的截圖,泰伯一眼就認出,這個正是他留在7天酒店的會員數據。其中他的郵箱、身份證號碼、會員等級、注冊時間、最后登錄時間等信息赫然在目。
泰伯稱,作為會員,把身份證甚至信用卡號碼等隱私信息放在7天酒店,就有權知道自己的個人信息是否安全,現在黑客從之前的攻擊、篡改內容改為刷庫,一旦數據庫被刷走,用戶的信息就會被盜用,甚至還會出現利用多個數據庫交叉對比,分析用戶行為來實施更高級的詐騙。
“現在對7天酒店信心不足,如果他們不直面自己安全上的問題,我是不會再住他們的酒店了。”隨后泰伯將自己微博上有關7天酒店的信息全部刪除。他告訴記者,自己和7天酒店之間的交涉最后無疾而終。
泰伯最后表示,國內類似7天酒店這樣的連鎖酒店集團,都鼓勵用戶在他們網上訂房。“用戶一旦在網上訂房,數據庫就勢必被放在互聯網上,很容易被人攻破,而且對國內很多類似酒店這樣的傳統行業來說,只要安全問題不影響收入,他們就不會重視。”
不該存的信息不要存
一翔對記者表示,對于網站來說,沒有所謂百分之百的安全,網站應該做的是有意識地保護客戶的重要信息。“比如以前電子商務網站里面可能會有非常詳細的信用卡信息,包括卡號、用戶名、地址、有效期、校驗碼等等,但是現在大型的電子商務網站很少會存這些東西在數據庫了。對于電子商務網站來說,涉及到信用卡支付應該是銀行的事情,網站只要知道是否支付成功就行了,不需要記錄完整的信息,凡是不需要的信息,都不需要保存。”
一翔認為,對于連鎖酒店來說,身份證信息完全沒必要記錄在自己的數據庫中,會員只要入住登記的時候提供身份證就行了,完全不必在自己的公開網站的數據庫上保存,純屬增加風險。關于會員預訂情況等信息,也要想辦法做隱藏或者加密。
至截稿(4月7日)時,記者從另外途徑了解,7天酒店最近正在積極找安全廠商解決其網站和酒店的網絡安全問題,“據說很著急,而且不差錢。”
如何防范“網絡大盜”?
就企業網站如何防范數據庫被盜,用戶應該如何自我保護等問題,記者訪問了專業安全廠商邁克菲(Mcafee)技術產品經理李明。
記者:在網站防止被黑(不包括DDOS等與網絡訪問有關的攻擊)方面,大致要做哪些保護措施?
李明:網站被黑有各種不同的程度或后果,一般說來,根據網站規模或內容的不同,可考慮以下保護措施。
上線前可利用Web評估軟件,針對自己的網站進行安全評估,也可請外部專家進行滲透測試,以發現網站的薄弱環節。上線后,針對網站的掃描部署入侵防護系統(IPS)進行保護。
針對網站用戶密碼的破解,可通過一次性口令、手機短信校驗碼、強制口令強度、采用HTTPS連接等輔助手段增強口令強度,除此之外還需要堅持用戶的安全教育。
記者:大多數網站服務器上都帶有數據庫,在面對可能被“刷庫”風險下,數據庫設計環節需要做好哪些保護,以減少可能被刷庫所帶來的損失?
李明:在網站設計時,設計人員需要對數據庫安全有必要的了解,如果有可能,可在開發團隊中增加負責安全架構的角色。在上線前需要進行全面的安全評估,注意社交工程、釣魚軟件的威脅。
記者:現在有個觀點,網站只要一連互聯網,就存在被黑掉的可能性,沒有百分之百的安全?
李明:如果是改寫頁面或者進入后臺的話,目前還不能說所有的網站都能被黑掉。我更傾向同意任何網站都必須重視安全,否則就有被黑掉的可能性。
記者:就邁克菲的了解,目前國內旅游、酒店類網站數據庫被刷的情況是不是很普遍?
李明:存在這樣的情況,但無法證實這是否普遍現象。
記者:從用戶個人的角度來說,如何降低自己的信息由于網站被黑而泄露出去的風險?
李明:用戶要認真閱讀網站的相關協議,謹慎選擇上傳自己的信息,尤其是包含身份、住址、肖像、銀行卡在內的敏感信息。但是歸根到底,除了謹慎小心,用戶并不能對自己的信息保護努力做出更多,用戶需要明白,信息上傳到網站就不受自己所控制,就有泄漏的風險。
【編輯推薦】
