本报上期刊登记者调查报道《7天酒店数据库被盗 黑客网上叫卖会员数据》(以下简称“《7天》”)后,7天酒店于4月11日发布公开声明,称该报道内容严重失实,7天会员数据库并未失窃。然而,无论是《IT时报》记者上周的报道,还是本周的跟踪采访,均有证据表明,七天会员数据库, 包括会员卡号、手机号码、电子邮件等信息,确实流落在外。
7天酒店在公开声明中,指责本报记者“援引匿名爆料者信息”, “是对某网友微博上‘某连锁酒店会员资料泄露’截图的跟踪报道,且经核实与7天没有任何关系”,系不实报道。但事实上,在长达1个月的采访中,《IT时报》记者从多名“黑客”处获得明确佐证,7天会员数据库已被“刷库”,记者在对获得的一些数据信息核实后,证实其为7天会员资料。4月14日,在记者的跟踪采访中,一名7天会员向《IT时报》记者证实,数据库中的某串会员卡号是其所有。
在《7天》一文中,曾提到早在今年2月,黑客通过SQL漏洞再次侵入7天数据库“刷库”成功,在《7天》一文中接受采访的“泰伯”,也曾第一时间向7天酒店报告其网站存在的漏洞,虽然7天酒店对此否认,但事实上这个漏洞,在同月的漏洞报告平台——WooYun上已被披露。不只一位技术人士向记者表示, 该SQL注入漏洞正是7天酒店数据库被盗的原因之一。
7天酒店在声明中还指出“曾有网络安全厂商与7天接洽寻求合作,但7天最终未与其达成合作;不排除本次新闻炒作与商业利益有关。”
然而在撰写《7天》一文时,为了避免某些不必要的麻烦,《IT时报》记者并没有与任何网络安全厂商取得过联系,只是在文章主体内容撰写完成后,采访了安全厂商迈克菲公司的技术人员,请他就企业网站安全以及数据库安全方面提出一些建议。而并非像7天酒店所揣测,本报记者与某网络安全厂商有关。