會員人數(shù)超過1650萬，酒店總數(shù)逼近600家，在美國紐約證券交易所上市的7天連鎖酒店集團無疑是國內(nèi)經(jīng)濟型連鎖酒店集團的龍頭企業(yè)之一，但更多人所不知道的是，從去年開始，7天酒店在國內(nèi)黑客圈中成了“明星”。

　　去年就被“刷庫”

　　“我所知道的是，最早在去年8月2日，國內(nèi)安全圈子里就傳出了7天酒店官方網(wǎng)站被攻破，會員資料數(shù)據(jù)庫被刷走的消息。”互聯(lián)網(wǎng)安全專家一翔(化名)告訴記者。

　　“我不清楚7天酒店是被哪個黑客攻破的，但那天我所在的幾個安全類的QQ群中都在談這件事，甚至群里面還有人給出了會員數(shù)據(jù)庫文件準(zhǔn)確的大小——562M左右。”一翔回憶道。

　　數(shù)據(jù)庫被“刷”走，也被稱為“刷庫”、“爆庫”，是黑客圈子里面的行話，是指黑客利用企業(yè)網(wǎng)站存在的漏洞入侵，隨后下載并盜走企業(yè)網(wǎng)站服務(wù)器上的數(shù)據(jù)庫。

　　一翔稱自己并不知道7天酒店當(dāng)時是否很快察覺數(shù)據(jù)庫被盜，也不清楚7天酒店是否及時修補好了漏洞。不過今年2月16日，正月十四，農(nóng)歷新年還沒 過完，又一次傳來7天酒店會員數(shù)據(jù)庫被盜的消息。一翔告訴記者，這一次黑客利用了一個SQL數(shù)據(jù)庫漏洞再次入侵成功，“這個SQL漏洞在網(wǎng)站中很常見。2 個月過去了，這個漏洞應(yīng)該已經(jīng)被補好了吧。”一翔表示。

　　而據(jù)記者調(diào)查，在國內(nèi)一個位于廠商和安全研究者之間的漏洞報告平臺——WooYun上，7天酒店官方網(wǎng)站名下被羅列了3條漏洞，漏洞公布時間為今年2、3月。

　　600萬會員數(shù)據(jù)被網(wǎng)上兜售

　　事實上，即使7天酒店已經(jīng)修補好了網(wǎng)站漏洞，但黑客已經(jīng)開始在互聯(lián)網(wǎng)上公開售賣其會員數(shù)據(jù)庫文件。

　　在微博上，一個名為“××刺客”的用戶發(fā)言稱，“出售7天假日所有聯(lián)網(wǎng)中心數(shù)據(jù)，附帶會員注冊個人信息，會員等級，開房信息，個人積分等全部數(shù)據(jù)。”同時該用戶還留下了一個聯(lián)系郵箱。

　　記者通過網(wǎng)絡(luò)查詢后，得到了該用戶的QQ號，在4月初與這名黑客取得了聯(lián)系。記者假稱自己是旅游行業(yè)人員，想購買7天的會員數(shù)據(jù)庫。在交流中， 該黑客明確告訴記者他手中確實有數(shù)據(jù)庫，會員總數(shù)在600萬左右。當(dāng)記者稱愿意出價1000元購買時，該黑客在等待了幾分鐘后，稱自己比較忙，不賣了。隨 后連續(xù)幾天，該黑客的QQ頭像始終處于離線狀態(tài)，記者發(fā)出的10多條消息也無一回復(fù)。

　　通過網(wǎng)絡(luò)查詢后，這名“刺客”在網(wǎng)絡(luò)上頗為活躍，他似乎是一個名叫“北洋賤隊”黑客組織中的重要人員之一。去年10月份，國內(nèi)IT專業(yè)網(wǎng)站cnBeta被黑就是該組織所為，目前還有多家中小型網(wǎng)站被其黑掉后，仍然未完全恢復(fù)。

　　很巧合的是，在WooYun上，公布7天酒店論壇漏洞的是一個署名為“英雄”的用戶，其個人資料中同樣提到了“北洋賤隊”。

　客戶不愿意再住

　　今年2月，國內(nèi)知名網(wǎng)站站長泰伯(化名)第一時間了解到7天酒店數(shù)據(jù)庫被黑的情況，作為7天酒店的白金會員，他馬上在微博上向7天酒店報告了網(wǎng) 站的安全漏洞，希望7天酒店能夠盡快解決。但是在微博上，7天酒店人士回應(yīng)稱，黑客提到的欲出售的7天假日與7天酒店并不是同一家企業(yè)。隨后泰伯表示，有 7天酒店的人士在找人刪除網(wǎng)絡(luò)上有關(guān)酒店被刷庫的帖子。

　　泰伯告訴記者，就在他微博公布7天酒店數(shù)據(jù)庫被黑消息不久，有匿名人士悄悄與他取得聯(lián)絡(luò)，給他看了幾張數(shù)據(jù)庫文件的截圖，泰伯一眼就認出，這個正是他留在7天酒店的會員數(shù)據(jù)。其中他的郵箱、身份證號碼、會員等級、注冊時間、最后登錄時間等信息赫然在目。

　　泰伯稱，作為會員，把身份證甚至信用卡號碼等隱私信息放在7天酒店，就有權(quán)知道自己的個人信息是否安全，現(xiàn)在黑客從之前的攻擊、篡改內(nèi)容改為刷庫，一旦數(shù)據(jù)庫被刷走，用戶的信息就會被盜用，甚至還會出現(xiàn)利用多個數(shù)據(jù)庫交叉對比，分析用戶行為來實施更高級的詐騙。

　　“現(xiàn)在對7天酒店信心不足，如果他們不直面自己安全上的問題，我是不會再住他們的酒店了。”隨后泰伯將自己微博上有關(guān)7天酒店的信息全部刪除。他告訴記者，自己和7天酒店之間的交涉最后無疾而終。

　　泰伯最后表示，國內(nèi)類似7天酒店這樣的連鎖酒店集團，都鼓勵用戶在他們網(wǎng)上訂房。“用戶一旦在網(wǎng)上訂房，數(shù)據(jù)庫就勢必被放在互聯(lián)網(wǎng)上，很容易被人攻破，而且對國內(nèi)很多類似酒店這樣的傳統(tǒng)行業(yè)來說，只要安全問題不影響收入，他們就不會重視。”

　　不該存的信息不要存

　　一翔對記者表示，對于網(wǎng)站來說，沒有所謂百分之百的安全，網(wǎng)站應(yīng)該做的是有意識地保護客戶的重要信息。“比如以前電子商務(wù)網(wǎng)站里面可能會有非常 詳細的信用卡信息，包括卡號、用戶名、地址、有效期、校驗碼等等，但是現(xiàn)在大型的電子商務(wù)網(wǎng)站很少會存這些東西在數(shù)據(jù)庫了。對于電子商務(wù)網(wǎng)站來說，涉及到 信用卡支付應(yīng)該是銀行的事情，網(wǎng)站只要知道是否支付成功就行了，不需要記錄完整的信息，凡是不需要的信息，都不需要保存。”

　　一翔認為，對于連鎖酒店來說，身份證信息完全沒必要記錄在自己的數(shù)據(jù)庫中，會員只要入住登記的時候提供身份證就行了，完全不必在自己的公開網(wǎng)站的數(shù)據(jù)庫上保存，純屬增加風(fēng)險。關(guān)于會員預(yù)訂情況等信息，也要想辦法做隱藏或者加密。

　　至4月7日，記者從另外途徑了解，7天酒店最近正在積極找安全廠商解決其網(wǎng)站和酒店的網(wǎng)絡(luò)安全問題，“據(jù)說很著急，而且不差錢。”