欢迎入刊,辉煌成就永载共和国史册! 入刊咨询热线:010-63085539  传真:010-63083953  联系人:刘雪、杨靖

中华人民共和国年鉴简介

  

   中华人民共和国年鉴网是忠实记录中国改革开放和建设成就及国家方针政策的唯一综合性国家年鉴网,是为落实中央关于“开展数字化、网络化建设,做好方志资源的整合、共享与开发利用”的有关精神,打造网上国史馆,推进国家史志信息化的建设的具体举措。中国年鉴网通过推出“阅后即定”等新技术,让历史能定时凝固下来,致力为每个行业、地区、单位、个人提供网上与移动历史空间,让每个行业、地区、单位以及个人都有自己的一部史记,都能在历史上写下浓墨重彩的一笔。

中国国情网是由中华人民共和国图鉴社汇同中国国情手册编辑部共同主办,并由北京政研院具体承办,旨在通过平面与网络互动,帮助领导干部轻松了解我国情况,牢记国情,科学发展;同时选拔各行业、地区中的优秀典型,以便入编中国国情,树立国家典范。
中国亲稳网是以贯彻胡锦涛总书记关于“要把提高舆论引导能力放在突出位置”的重要指示精神为指针,以帮助领导干部读懂读薄,安全面对互联网为宗旨,以亲稳舆论导向平台为基础为核心,以发掘汇报、舆情监测、维稳监测软件为龙头,以舆情发布、传播、推广、交流软件为重点,帮助各行业、地区、单位重点传播推广正面舆情,占领舆论主阵地,同时动态监测负面舆情,及时化解各种矛盾,以便共同营造领导亲民、基层稳定之良好格局,为构建和谐社会作出应有贡献!

网站首页 > 大国崛起 > 行业崛起 > 旅游 >

7天酒店会员信息被黑客叫卖--国家史册

  

  会员人数超过1650万,酒店[JiuDian]总数逼近600家,在美国纽约证券交易所上市的7天连锁酒店[JiuDian]集团无疑是国内经济型连锁酒店[JiuDian]集团的龙头企业之一,但更多人所不知道的是,从去年开始,7天酒店[JiuDian]在国内黑客圈中成了“明星”。

  IT时报记者 林斐

  去年就被“刷库”

  “我所知道的是,最早在去年8月2日,国内安全圈子里就传出了7天酒店[JiuDian]官方网站[WangZhan]被攻破,会员资料数据库[ShuJuKu]被刷走的消息。”互联网安全专家一翔(化名)告诉《IT时报》记者。“我不清楚7天酒店[JiuDian]是被哪个黑客攻破的,但那天我所在的几个安全类的QQ群中都在谈这件事,甚至群里面还有人给出了会员数据库[ShuJuKu]文件准确的大小——562M左右。”一翔回忆道。

  数据库[ShuJuKu]被“刷”走,也被称为“刷库”、“爆库”,是黑客圈子里面的行话,是指黑客利用企业网站[WangZhan]存在的漏洞入侵,随后下载并盗走企业网站[WangZhan]服务器上的数据库[ShuJuKu]。

  一翔称自己并不知道7天酒店[JiuDian]当时是否很快察觉数据库[ShuJuKu]被盗,也不清楚7天酒店[JiuDian]是否及时修补好了漏洞。不过今年2月16日,正月十四,农历新年还没过完,又一次传来7天酒店[JiuDian]会员数据库[ShuJuKu]被盗的消息。一翔告诉记者,这一次黑客利用了一个SQL数据库[ShuJuKu]漏洞再次入侵成功,“这个SQL漏洞在网站[WangZhan]中很常见。2个月过去了,这个漏洞应该已经被补好了吧。”一翔表示。

  而据记者调查,在国内一个位于厂商和安全研究者之间的漏洞报告平台——WooYun上,7天酒店[JiuDian]官方网站[WangZhan]名下被罗列了3条漏洞,漏洞公布时间为今年2、3月。

  600万会员数据被网上兜售

  事实上,即使7天酒店[JiuDian]已经修补好了网站[WangZhan]漏洞,但黑客已经开始在互联网上公开售卖其会员数据库[ShuJuKu]文件。

  在某微博上,一个名为“××刺客”的用户发言称,“出售7天假日所有联网中心数据,附带会员注册个人信息,会员等级,开房信息,个人积分等全部数据。”同时该用户还留下了一个联系邮箱。

  记者通过网络查询后,得到了该用户的QQ号,在4月初与这名黑客取得了联系。记者假称自己是旅游行业人员,想购买7天的会员数据库[ShuJuKu]。在交流中,该黑客明确告诉记者他手中确实有数据库[ShuJuKu],会员总数在600万左右。当记者称愿意出价1000元购买时,该黑客在等待了几分钟后,称自己比较忙,不卖了。随后连续几天,该黑客的QQ头像始终处于离线状态,记者发出的10多条消息也无一回复。

  通过网络查询后,这名“刺客”在网络上颇为活跃,他似乎是一个名叫“北洋贱队”黑客组织中的重要人员之一。去年10月份,国内IT专业网站[WangZhan]cnBeta被黑就是该组织所为,目前还有多家中小型网站[WangZhan]被其黑掉后,仍然未完全恢复。

  很巧合的是,在WooYun上,公布7天酒店[JiuDian]论坛漏洞的是一个署名为“英雄”的用户,其个人资料中同样提到了“北洋贱队”。

  客户不愿意再住

  今年2月,国内知名网站[WangZhan]站长泰伯(化名)第一时间了解到7天酒店[JiuDian]数据库[ShuJuKu]被黑的情况,作为7天酒店[JiuDian]的白金会员,他马上在微博上向7天酒店[JiuDian]报告了网站[WangZhan]的安全漏洞,希望7天酒店[JiuDian]能够尽快解决。但是在微博上,7天酒店[JiuDian]人士回应称,黑客提到的欲出售的7天假日与7天酒店[JiuDian]并不是同一家企业。随后泰伯表示,有7天酒店[JiuDian]的人士在找人删除网络上有关酒店[JiuDian]被刷库的帖子。

  泰伯告诉《IT时报》记者,就在他微博公布7天酒店[JiuDian]数据库[ShuJuKu]被黑消息不久,有匿名人士悄悄与他取得联络,给他看了几张数据库[ShuJuKu]文件的截图,泰伯一眼就认出,这个正是他留在7天酒店[JiuDian]的会员数据。其中他的邮箱、身份证号码、会员等级、注册时间、最后登录时间等信息赫然在目。

  泰伯称,作为会员,把身份证甚至信用卡号码等隐私信息放在7天酒店[JiuDian],就有权知道自己的个人信息是否安全,现在黑客从之前的攻击、篡改内容改为刷库,一旦数据库[ShuJuKu]被刷走,用户的信息就会被盗用,甚至还会出现利用多个数据库[ShuJuKu]交叉对比,分析用户行为来实施更高级的诈骗。“现在对7天酒店[JiuDian]信心不足,如果他们不直面自己安全上的问题,我是不会再住他们的酒店[JiuDian]了。”随后泰伯将自己微博上有关7天酒店[JiuDian]的信息全部删除。他告诉记者,自己和7天酒店[JiuDian]之间的交涉最后无疾而终。

  泰伯最后表示,国内类似7天酒店[JiuDian]这样的连锁酒店[JiuDian]集团,都鼓励用户在他们网上订房。“用户一旦在网上订房,数据库[ShuJuKu]就势必被放在互联网上,很容易被人攻破,而且对国内很多类似酒店[JiuDian]这样的传统行业来说,只要安全问题不影响收入,他们就不会重视。”

  不该存的信息不要存

  一翔对记者表示,对于网站[WangZhan]来说,没有所谓百分之百的安全,网站[WangZhan]应该做的是有意识地保护客户的重要信息。“比如以前电子商务网站[WangZhan]里面可能会有非常详细的信用卡信息,包括卡号、用户名、地址、有效期、校验码等等,但是现在大型的电子商务网站[WangZhan]很少会存这些东西在数据库[ShuJuKu]了。对于电子商务网站[WangZhan]来说,涉及到信用卡支付应该是银行的事情,网站[WangZhan]只要知道是否支付成功就行了,不需要记录完整的信息,凡是不需要的信息,都不需要保存。”

  一翔认为,对于连锁酒店[JiuDian]来说,身份证信息完全没必要记录在自己的数据库[ShuJuKu]中,会员只要入住登记的时候提供身份证就行了,完全不必在自己的公开网站[WangZhan]的数据库[ShuJuKu]上保存,纯属增加风险。关于会员预订情况等信息,也要想办法做隐藏或者加密。

  至截稿(4月7日)时,《IT时报》记者从另外途径了解,7天酒店[JiuDian]最近正在积极找安全厂商解决其网站[WangZhan]和酒店[JiuDian]的网络安全问题,“据说很着急,而且不差钱。”

  如何防范“网络大盗”?

  就企业网站[WangZhan]如何防范数据库[ShuJuKu]被盗,用户应该如何自我保护等问题,《IT时报》记者访问了安全技术专家李明。

  《IT时报》:在网站[WangZhan]防止被黑 (不包括DDOS等与网络访问有关的攻击)方面,大致要做哪些保护措施?

  李明:网站[WangZhan]被黑有各种不同的程度或后果,一般说来,根据网站[WangZhan]规模或内容的不同,可考虑以下保护措施。

  上线前可利用Web评估软件,针对自己的网站[WangZhan]进行安全评估,也可请外部专家进行渗透测试,以发现网站[WangZhan]的薄弱环节。上线后,针对网站[WangZhan]的扫描部署入侵防护系统 (IPS)进行保护。

  针对网站[WangZhan]用户密码的破解,可通过一次性口令、手机短信校验码、强制口令强度、采用HTTPS连接等辅助手段增强口令强度,除此之外还需要坚持用户的安全教育。

  《IT时报》:大多数网站[WangZhan]服务器上都带有数据库[ShuJuKu],在面对可能被“刷库”风险下,数据库[ShuJuKu]设计环节需要做好哪些保护,以减少可能被刷库所带来的损失?

  李明:在网站[WangZhan]设计时,设计人员需要对数据库[ShuJuKu]安全有必要的了解,如果有可能,可在开发团队中增加负责安全架构的角色。在上线前需要进行全面的安全评估,注意社交工程、钓鱼软件的威胁。

  《IT时报》:现在有个观点,网站[WangZhan]只要一连互联网,就存在被黑掉的可能性,没有百分之百的安全?

  李明:如果是改写页面或者进入后台的话,目前还不能说所有的网站[WangZhan]都能被黑掉。我更倾向同意任何网站[WangZhan]都必须重视安全,否则就有被黑掉的可能性。

  《IT时报》:目前国内旅游、酒店[JiuDian]类网站[WangZhan]数据库[ShuJuKu]被刷的情况是不是很普遍?

  李明:存在这样的情况,但无法证实这是否普遍现象。

  《IT时报》:从用户个人的角度来说,如何降低自己的信息由于网站[WangZhan]被黑而泄露出去的风险?

  李明:用户要认真阅读网站[WangZhan]的相关协议,谨慎选择上传自己的信息,尤其是包含身份、住址、肖像、银行卡在内的敏感信息。但是归根到底,除了谨慎小心,用户并不能对自己的信息保护努力做出更多,用户需要明白,信息上传到网站[WangZhan]就不受自己所控制,就有泄漏的风险。

  • 相关阅读
  • ·7天酒店[JiuDian]否认600万会员资料遭外泄
关于我们 媒体报道 在线申报 文档下载 网站地图 友情链接:链接中国年鉴网,载入国家史册
中国特色推进联盟旗下网站:中国特色总网 中华职工学习网 全国创争总网 中国图鉴 中国年鉴 中国国情 中国亲稳
中国商权产业联盟旗下网站:商权公司 商权生活 中国生活 定推生活 先健生活 汽车生活 旅游生活 百货生活 圣农生活 志高家电 开创水产 实达智能 智光节能 迪马到家 金森秀 美秀网 房团网 拼图易经营管理工具包,让经营管理像拼图一样简单容易
中国年鉴网版权所有 京ICP备09110630-18号 中国年鉴网提供入编 中国年鉴网 中华人民共和国年鉴网 征订 中国年鉴网 中华人民共和国年鉴网 助您载入 中国年鉴网 中华人民共和国年鉴网!