会员人数超过1650万,酒店总数逼近600家,在美国纽约证券交易所上市的7天连锁酒店集团无疑是国内经济型连锁酒店集团的龙头企业之一,但更多人所不知道的是,从去年开始,7天酒店在国内黑客圈中成了“明星”。
去年就被“刷库”
“我所知道的是,最早在去年8月2日,国内安全圈子里就传出了7天酒店官方网站被攻破,会员资料数据库被刷走的消息。”互联网安全专家一翔(化名)告诉记者。
“我不清楚7天酒店是被哪个黑客攻破的,但那天我所在的几个安全类的QQ群中都在谈这件事,甚至群里面还有人给出了会员数据库文件准确的大小——562M左右。”一翔回忆道。
数据库被“刷”走,也被称为“刷库”、“爆库”,是黑客圈子里面的行话,是指黑客利用企业网站存在的漏洞入侵,随后下载并盗走企业网站 服务器 上的数据库。
一翔称自己并不知道7天酒店当时是否很快察觉数据库被盗,也不清楚7天酒店是否及时修补好了漏洞。不过今年2月16日,正月十四,农历新年还没过完,又一次传来7天酒店会员数据库被盗的消息。一翔告诉记者,这一次黑客利用了一个SQL数据库漏洞再次入侵成功,“这个SQL漏洞在网站中很常见。2个月过去了,这个漏洞应该已经被补好了吧。”一翔表示。
而据记者调查,在国内一个位于厂商和安全研究者之间的漏洞报告平台——WooYun上,7天酒店官方网站名下被罗列了3条漏洞,漏洞公布时间为今年2、3月。
600万会员数据被网上兜售
事实上,即使7天酒店已经修补好了网站漏洞,但黑客已经开始在互联网上公开售卖其会员数据库文件。
在腾讯微博上,一个名为“××刺客”的用户发言称,“出售7天假日所有联网中心数据,附带会员注册个人信息,会员等级,开房信息,个人积分等全部数据。”同时该用户还留下了一个联系邮箱。
记者通过网络查询后,得到了该用户的QQ号,在4月初与这名黑客取得了联系。记者假称自己是旅游行业人员,想购买7天的会员数据库。在交流中,该黑客明确告诉记者他手中确实有数据库,会员总数在600万左右。当记者称愿意出价1000元购买时,该黑客在等待了几分钟后,称自己比较忙,不卖了。随后连续几天,该黑客的QQ头像始终处于离线状态,记者发出的10多条消息也无一回复。
通过网络查询后,这名“刺客”在网络上颇为活跃,他似乎是一个名叫“北洋贱队”黑客组织中的重要人员之一。去年10月份,国内IT专业网站cnBeta被黑就是该组织所为,目前还有多家中小型网站被其黑掉后,仍然未完全恢复。
很巧合的是,在WooYun上,公布7天酒店论坛漏洞的是一个署名为“英雄”的用户,其个人资料中同样提到了“北洋贱队”。
客户不愿意再住
今年2月,国内知名网站站长泰伯(化名)第一时间了解到7天酒店数据库被黑的情况,作为7天酒店的白金会员,他马上在微博上向7天酒店报告了网站的安全漏洞,希望7天酒店能够尽快解决。但是在微博上,7天酒店人士回应称,黑客提到的欲出售的7天假日与7天酒店并不是同一家企业。随后泰伯表示,有7天酒店的人士在找人删除网络上有关酒店被刷库的帖子。
泰伯告诉记者,就在他微博公布7天酒店数据库被黑消息不久,有匿名人士悄悄与他取得联络,给他看了几张数据库文件的截图,泰伯一眼就认出,这个正是他留在7天酒店的会员数据。其中他的邮箱、身份证号码、会员等级、注册时间、最后登录时间等信息赫然在目。
泰伯称,作为会员,把身份证甚至信用卡号码等隐私信息放在7天酒店,就有权知道自己的个人信息是否安全,现在黑客从之前的攻击、篡改内容改为刷库,一旦数据库被刷走,用户的信息就会被盗用,甚至还会出现利用多个数据库交叉对比,分析用户行为来实施更高级的诈骗。
“现在对7天酒店信心不足,如果他们不直面自己安全上的问题,我是不会再住他们的酒店了。”随后泰伯将自己微博上有关7天酒店的信息全部删除。他告诉记者,自己和7天酒店之间的交涉最后无疾而终。
泰伯最后表示,国内类似7天酒店这样的连锁酒店集团,都鼓励用户在他们网上订房。“用户一旦在网上订房,数据库就势必被放在互联网上,很容易被人攻破,而且对国内很多类似酒店这样的传统行业来说,只要安全问题不影响收入,他们就不会重视。”
不该存的信息不要存
一翔对记者表示,对于网站来说,没有所谓百分之百的安全,网站应该做的是有意识地保护客户的重要信息。“比如以前电子商务网站里面可能会有非常详细的信用卡信息,包括卡号、用户名、地址、有效期、校验码等等,但是现在大型的电子商务网站很少会存这些东西在数据库了。对于电子商务网站来说,涉及到信用卡支付应该是银行的事情,网站只要知道是否支付成功就行了,不需要记录完整的信息,凡是不需要的信息,都不需要保存。”
一翔认为,对于连锁酒店来说,身份证信息完全没必要记录在自己的数据库中,会员只要入住登记的时候提供身份证就行了,完全不必在自己的公开网站的数据库上保存,纯属增加风险。关于会员预订情况等信息,也要想办法做隐藏或者加密。
至截稿(4月7日)时,记者从另外途径了解,7天酒店最近正在积极找安全厂商解决其网站和酒店的网络安全问题,“据说很着急,而且不差钱。”
如何防范“网络大盗”?
就企业网站如何防范数据库被盗,用户应该如何自我保护等问题,记者访问了专业安全厂商迈克菲(Mcafee)技术产品经理李明。
记者:在网站防止被黑(不包括DDOS等与网络访问有关的攻击)方面,大致要做哪些保护措施?
李明:网站被黑有各种不同的程度或后果,一般说来,根据网站规模或内容的不同,可考虑以下保护措施。
上线前可利用Web评估软件,针对自己的网站进行安全评估,也可请外部专家进行渗透测试,以发现网站的薄弱环节。上线后,针对网站的扫描部署入侵防护系统(IPS)进行保护。
针对网站用户密码的破解,可通过一次性口令、手机短信校验码、强制口令强度、采用HTTPS连接等辅助手段增强口令强度,除此之外还需要坚持用户的安全教育。
记者:大多数网站服务器上都带有数据库,在面对可能被“刷库”风险下,数据库设计环节需要做好哪些保护,以减少可能被刷库所带来的损失?
李明:在网站设计时,设计人员需要对数据库安全有必要的了解,如果有可能,可在开发团队中增加负责安全架构的角色。在上线前需要进行全面的安全评估,注意社交工程、钓鱼软件的威胁。
记者:现在有个观点,网站只要一连互联网,就存在被黑掉的可能性,没有百分之百的安全?
李明:如果是改写页面或者进入后台的话,目前还不能说所有的网站都能被黑掉。我更倾向同意任何网站都必须重视安全,否则就有被黑掉的可能性。
记者:就迈克菲的了解,目前国内旅游、酒店类网站数据库被刷的情况是不是很普遍?
李明:存在这样的情况,但无法证实这是否普遍现象。
记者:从用户个人的角度来说,如何降低自己的信息由于网站被黑而泄露出去的风险?
李明:用户要认真阅读网站的相关协议,谨慎选择上传自己的信息,尤其是包含身份、住址、肖像、银行卡在内的敏感信息。但是归根到底,除了谨慎小心,用户并不能对自己的信息保护努力做出更多,用户需要明白,信息上传到网站就不受自己所控制,就有泄漏的风险。
【编辑推荐】
ims技术特点是什么
IMS是上海新跃物流汇团队自主研发并拥有自主知识产权的针对中小物流企业的综合性信息化管理解决方案,IMS是系统的英文缩写。 简单介绍一下,IMS在技术方面主要有以下这样几个特点:一 采用B/S架构IMS系统采用B/S架构,但可以安装客户端。 B/S最大的优点就是大大简化了系统的维护、开发和使用,实现客户端零维护。 无论用户的规模有多大,有多少分支机构都不会增加任何维护升级的工作量,所有的操作只需要针对服务器进行;如果是异地,只需要把服务器连接专网即可实现远程维护、升级和共享。 由于IMS系统主要针对物流行业的中小型公司,因此采用IE/Flashplayer 可以让界面元素呈现更多,更容易在B/S架构下轻松实现C/S的客户体验。 二 采用分布式数据库方式IMS系统通过B/S架构实现数据的集中管理,同时采用分布式数据库实现数据的分布式存储,大大增强了IMS的扩展性,使得系统可以轻松应对企业业务数据不断攀升的量级需求;而在服务器的架设上,IMS根据IT灾备需求进行集群架构处理,从根本上避免了系统因为受到黑客攻击而全线崩溃的可能。 三 IMS采用了靓丽的换皮肤技术。 将系统外观与代码进行隔离,可以让IMS系统在改变界面风格时变得更容易。
电子商务怎样应用?
企业电子商务网站投入使用以后,就进入繁琐和复杂的运营阶段。 运营一段时间后,我们就要对其进行分析,以检查此电子商务是否运行稳定,是否方便,是否能有效吸引客户等。 分析的前提是建立能够完整地反映分析对象运营情况的评估指标体系。 此体系主要包括技术性评价和社会评价。 技术评价指标主要包括以下四个评价指标:1、企业电子商务网站的设计评价。 力图使企业网站信息丰富且有吸引力,经常更新,并能为客户提供各种服务,是网站吸引用户的法宝。 因此,网站的设计是十分重要的。 对网站设计的评价包括以下几方面:(1)网站包含内容应该具有的广度和深度;(2)客户获得信息应该充分、方便和及时;(3)结构划分应该合理清晰,重点突出,层次合理;(4)网页的视觉形象应该富有创意。 2、网站的可操作性评价。 网站的操作简便、快速是网站吸引和留住用户的关键之一。 尤其是第一次登录的访问者往往缺乏耐心,如果他们感到网站的操作不流畅或是等待时间过长,将会失去继续浏览和再次登录的兴趣。 对网站的操作评价有以下几方面:(1)网站能否快速进入;(2)网站操作是否简便;(3)网站是否能够及时为客户提供有效的服务。 3、技术应用评价。 网站的设计过程中涉及很多技术问题。 新技术的应用是否成功关系到网站是否能高效、低成本运行。 评价分析内容有:(1)网页设计中是否不断采用新技术以增强吸引力并提供更多的服务内容;(2)数据库交互点设计的是否合理,检索点的设置是否符合检索要求,数据项细分和组合是否恰到好处。 4、网站的安全性评价。 抵御黑客攻击、保证网站的安全运行是网站健康运行的必要条件。 电子商务系统为企业带来的社会影响的社会评价。 社会评价主要有以下几个指标:1、访问量。 访问量是指某网站自发布以来累计接受访问的人数。 网络经济是注意力经济,吸引用户的注意力是企业电子商务网站盈利的前提。 2、注册量。 注册量是指在某网站进行注册的用户数量。 一般而言,网站的注册量越大,表明该网站对用户的吸引力越大,但并不绝对。 3、点击率。 点击率是指在一定时段内访问某网站的人数。 一般用日点击率表示。 日点击率=访问某网站的人数/统计天数4、用户忠诚度。 用户忠诚度是指在一定时段内相同的用户访问某网站的次数。 该时段内访问该网站的用户数=在一定时段内相同的用户访问某网站的次数和/该时段内访问该网站的用户数5、网站的实际访问量网站的实际访问量=浏览次数和×页面点击数,该指标比访问量指标更综合地反映用户对网站的利用情况。
12306网站用户数据为什么会外泄?
“火速改密码!”这是2014年12月25日人们奔走相告的一句流行语。 第三方漏洞报告平台乌云网曝出,用户购买火车票的数据遭到泄露,约有13万条用户的个人数据在互联网被疯传,包括用户帐号、明文密码、身份证信息等,但是泄露的途径未知。 一时间人心惶惶,质疑声纷纷指向网站。
针对网上出现“网站用户信息在互联网上风传”的消息,网站回应称,经核查,此泄露信息全部含有用户的明文密码,网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。 称已报警,警方已介入调查。 网站公告还提醒乘客,通过官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止个人身份信息外泄。 同时,还提醒称,部分第三方网站开发的抢票神器中,有捆绑式销售保险功能,请乘客注意。
用户数据如何被泄露?
专家称可能密码早已泄露,通过“撞库攻击”整理
有关专家分析认为,正常情况下,注重安全的网站都不会使用明文密码。 因此,这次泄露的13万个记录,极有可能是黑客通过其他数据库“撞库”整理出来的。
的用户信息是被“撞库”泄漏的,“撞库”是指用黑客通过收集网络上已泄露的用户名及密码信息,生成庞大的密码库,然后到等网站尝试批量登录,得到一批可以登录的用户账号及密码。 一些网络安全公司昨天也发布声明,并确认数据泄露事件为“撞库攻击”。
谁是“泄密者”?
专家称基本确认由黑客获取,“网站账号安全体系存缺陷”
在官方声明中称,网上泄露的用户信息系经其他网站或渠道流出,并提醒用户不要使用第三方抢票软件购票。
根据安全研究人员分析,发现几乎所有13万条账号密码与之前一些游戏网站“泄密门”传出的账号密码完全匹配,基本可以确认该批数据是黑客通过撞库获得的。 据悉这些信息可能在黑客之间“买卖”。 网站被撞库,说明其账号安全体系存在缺陷,才会被黑客利用自动化程序尝试登录撞库。
如何规避密码泄露风险?
赶紧换密码,不同网站用不同密码并定期修改
能实现“撞库攻击”是因为很多用户在不同网站使用的是相同的账号密码,因此黑客能通过获取用户在A网站的账户从而尝试登录B网址。
的信息泄露有可能衍生风险,如邮箱被“撞库”(用的用户名密码去尝试登录邮箱),造成更多个人信息被盗;因手机号身份证号行程的泄露,遭遇电信欺诈等,甚至可能遭遇已订火车票被恶意退票的情况。
安全专家提醒用户注意修改密码。 如有其他重要账号使用了相同的注册邮箱和密码,应一并修改。
公安机关只要根据这十余万条数据相关用户进行调查,很快就能挖出泄露数据的源头。 本次事件也再次为互联网上的信息安全敲响了警钟,提醒用户常用邮箱、网上支付等重要账号一定要单独设置高强度密码,并定期对密码进行修改。
发表评论