IT時報核實確認7天酒店據庫被盜 黑客網上叫賣會員數據
IT時報記者 林斐
本報上期刊登記者調查報道《7天酒店數據庫被盜 黑客網上叫賣會員數據》(以下簡稱“《7天》”)后�����,7天酒店于4月11日發布公開聲明�����,稱該報道內容嚴重失實����,7天會員數據庫并未失竊����。然而����,無論是《IT時報》記者上周的報道����,還是本周的跟蹤采訪����,均有證據表明�����,七天會員數據庫����, 包括會員卡號�����、手機號碼����、電子郵件等信息�����,確實流落在外����。
7天酒店在公開聲明中�����,指責本報記者“援引匿名爆料者信息”�����, “是對某網友微博上‘某連鎖酒店會員資料泄露’截圖的跟蹤報道����,且經核實與7天沒有任何關系”����,系不實報道����。但事實上����,在長達1個月的采訪中����,《IT時報》記者從多名“黑客”處獲得明確佐證�����,7天會員數據庫已被“刷庫”�����,記者在對獲得的一些數據信息核實后�����,證實其為7天會員資料����。4月14日�����,在記者的跟蹤采訪中�����,一名7天會員向《IT時報》記者證實����,數據庫中的某串會員卡號是其所有����。
在《7天》一文中�����,曾提到早在今年2月����,黑客通過SQL漏洞再次侵入7天數據庫“刷庫”成功�����,在《7天》一文中接受采訪的“泰伯”����,也曾第一時間向7天酒店報告其網站存在的漏洞�����,雖然7天酒店對此否認����,但事實上這個漏洞�����,在同月的漏洞報告平臺――WooYun上已被披露�����。不只一位技術人士向記者表示�����, 該SQL注入漏洞正是7天酒店數據庫被盜的原因之一�����。
7天酒店在聲明中還指出“曾有網絡安全廠商與7天接洽尋求合作����,但7天最終未與其達成合作����;不排除本次新聞炒作與商業利益有關�����?����!?然而在撰寫《7天》一文時�����,為了避免某些不必要的麻煩�����,《IT時報》記者并沒有與任何網絡安全廠商取得過聯系�����,只是在文章主體內容撰寫完成后����,采訪了安全廠商邁克菲公司的技術人員�����,請他就企業網站安全以及數據庫安全方面提出一些建議�����。而并非像7天酒店所揣測�����,本報記者與某網絡安全廠商有關����。
