您的位置: 旅游网 > 影视

7天酒店被刷库600万会员数据被兜售世界和平

发布时间:2020-02-15 07:00:07

7天酒店被“刷库” 600万会员数据被兜售

会员人数超过1650万,酒店总数逼近600家,在美国纽约证券交易所上市的7天连锁酒店团体无疑是国内经济型连锁酒店集团的龙头企业之一,但更多人所不知道的是,从去年开始,7天酒店在国内黑客圈中成了 明星 。

去年就被 刷库

我所知道的是,最早在去年8月2日,国内安全圈子里就传出了7天酒店官方站被攻破,会员资料数据库被刷走的消息。 互联安全专家一翔(化名)告知。

我不清楚7天酒店是被那个黑客攻破的,但那天我所在的几个安全类的群中都在谈这件事,甚至群里面还有人给出了会员数据库文件准确的大小 562M左右。 1翔回忆道。

数据库被 刷 走,也被称为 刷库 、 爆库 ,是黑客圈子里面的行话,是指黑客利用企业站存在的漏洞入侵,随后下载并盗走企业站服务器上的数据库。

一翔称自己并不知道7天酒店当时是不是很快察觉数据库被盗,也不清楚7天酒店是否及时修补好了漏洞。不过今年2月16日,正月十四,农历新年还没过完,又一次传来7天酒店会员数据库被盗的消息。1翔告知,这一次黑客利用了一个SQL数据库漏洞再次入侵成功, 这个SQL漏洞在站中很常见。2个月过去了,这个漏洞应当已被补好了吧。 一翔表示。

而据调查,在国内一个位于厂商和安全研究者之间的漏洞报告平台 WooYun上,7天酒店官方站名下被罗列了3条漏洞,漏洞公布时间为今年2、3月。

600万会员数据被上兜售

事实上,即便7天酒店已修补好了站漏洞,但黑客已开始在互联上公然售卖其会员数据库文件。

在微博上,一个名为 刺客 的用户发言称, 出售7天假日所有联中心数据,附带会员注册个人信息,会员等级,开房信息,个人积分等全部数据。 同时该用户还留下了一个联系邮箱。

通过络查询后,得到了该用户的号,在4月初与这名黑客取得了联系。假称自己是旅业人员,想购买7天的会员数据库。在交流中,该黑客明确告知他手中确实有数据库,会员总数在600万左右。当称愿意出价1000元购买时,该黑客在等待了几分钟后,称自己比较忙,不卖了。随后连续几天,该黑客的头像始终处于离线状态,发出的10多条消息也无一回复。

通过络查询后,这名 刺客 在络上很是活跃,他似乎是一个名叫 北洋贱队 黑客组织中的重要人员之一。去年10月份,国内IT专业站cnBeta被黑就是该组织所为,目前还有多家中小型站被其黑掉后,依然未完全恢复。

很偶合的是,在WooYun上,公布7天酒店论坛漏洞的是一个署名为 英雄 的用户,其个人资料中同样提到了 北洋贱队 。

客户不愿意再住

今年2月,国内知名站站长泰伯(化名)第一时间了解到7天酒店数据库被黑的情况,作为7天酒店的白金会员,他马上在微博上向7天酒店报告了站的安全漏洞,希望7天酒店能够尽快解决。但是在微博上,7天酒店人士回应称,黑客提到的欲出售的7天假日与7天酒店并不是同一家企业。随后泰伯表示,有7天酒店的人士在找人删除络上有关酒店被刷库的帖子。

泰伯告诉,就在他微博公布7天酒店数据库被黑消息不久,有匿名人士悄悄与他获得联络,给他看了几张数据库文件的截图,泰伯一眼就认出,这个正是他留在7天酒店的会员数据。其中他的邮箱、身份证号码、会员等级、注册时间、最后登录时间等信息赫然在目。

泰伯称,作为会员,把身份证甚至信用卡号码等隐私信息放在7天酒店,就有权知道自己的个人信息是否安全,现在黑客从之前的攻击、篡改内容改成刷库,一旦数据库被刷走,用户的信息就会被盗用,乃至还会出现利用多个数据库交叉比较,分析用户行动来实行更高级的欺骗。

现在对7天酒店信心不足,如果他们不直面自己安全上的问题,我是不会再住他们的酒店了。 随后泰伯将自己微博上有关7天酒店的信息全部删除。他告知,自己和7天酒店之间的交涉最后无疾而终。

泰伯最后表示,国内类似7天酒店这样的连锁酒店团体,都鼓励用户在他们上订房。 用户一旦在上订房,数据库就必将被放在互联上,很容易被人攻破,而且对国内很多类似酒店这样的传统行业来说,只要安全问题不影响收入,他们就不会重视。

不该存的信息不要存

1翔对表示,对站来说,没有所谓百分之百的安全,站应当做的是有意识地保护客户的重要信息。 比如之前电子商务站里面可能会有非常详细的信用卡信息,包括卡号、用户名、地址、有效期、校验码等等,但是现在大型的电子商务站很少会存这些东西在数据库了。对于电子商务站来讲,涉及到信用卡支付应该是银行的事情,站只要知道是不是支付成功就行了,不需要记录完整的信息,凡是不需要的信息,都不需要保存。

1翔认为,对连锁酒店来说,身份证信息完全没必要记录在自己的数据库中,会员只要入住登记的时候提供身份证就行了,完全没必要在自己的公开站的数据库上保存,纯属增加风险。关于会员预订情况等信息,也要想办法做隐藏或者加密。

至截稿(4月7日)时,从另外途径了解,7天酒店最近正在积极找安全厂商解决其站和酒店的络安全问题, 听说很着急,而且不差钱。

白带多应该吃什么
白带发黄的主要原因
怎么辨别产后流血
月经不调推迟喝什么好
猜你会喜欢的
猜你会喜欢的