IT时报核实确认7天酒店据库被盗 黑客网上叫卖会员数据

IT时报记者 林斐

本报上期刊登记者调查报道《7天酒店数据库被盗 黑客网上叫卖会员数据》(以下简称“《7天》”)后，7天酒店于4月11日发布公开声明，称该报道内容严重失实，7天会员数据库并未失窃。然而，无论是《IT时报》记者上周的报道，还是本周的跟踪采访，均有证据表明，七天会员数据库， 包括会员卡号、手机号码、电子邮件等信息，确实流落在外。

7天酒店在公开声明中，指责本报记者“援引匿名爆料者信息”， “是对某网友微博上‘某连锁酒店会员资料泄露’截图的跟踪报道，且经核实与7天没有任何关系”，系不实报道。但事实上，在长达1个月的采访中，《IT时报》记者从多名“黑客”处获得明确佐证，7天会员数据库已被“刷库”，记者在对获得的一些数据信息核实后，证实其为7天会员资料。4月14日，在记者的跟踪采访中，一名7天会员向《IT时报》记者证实，数据库中的某串会员卡号是其所有。

在《7天》一文中，曾提到早在今年2月，黑客通过SQL漏洞再次侵入7天数据库“刷库”成功，在《7天》一文中接受采访的“泰伯”，也曾第一时间向7天酒店报告其网站存在的漏洞，虽然7天酒店对此否认，但事实上这个漏洞，在同月的漏洞报告平台——WooYun上已被披露。不只一位技术人士向记者表示， 该SQL注入漏洞正是7天酒店数据库被盗的原因之一。

7天酒店在声明中还指出“曾有网络安全厂商与7天接洽寻求合作，但7天最终未与其达成合作；不排除本次新闻炒作与商业利益有关。”

然而在撰写《7天》一文时，为了避免某些不必要的麻烦，《IT时报》记者并没有与任何网络安全厂商取得过联系，只是在文章主体内容撰写完成后，采访了安全厂商迈克菲公司的技术人员，请他就企业网站安全以及数据库安全方面提出一些建议。而并非像7天酒店所揣测，本报记者与某网络安全厂商有关。