黑客是如何入侵凱悅酒店的支付系統？

繼2015年凱悅酒店被黑客入侵之後，今年3月份黑客再一次光顧了凱悅酒店內部系統，大量用戶的信息被泄露，包括用戶姓名、信用卡號、信用卡有效期和內部驗證碼。黑客將含有惡意代碼的卡片插入到酒店的IT系統，利用酒店管理系統的漏洞獲取了資料庫訪問許可權，進行解密後，獲得了住戶的私人信息。那麼什麼是惡意代碼？惡意代碼如何找到的漏洞？又是如何拿到了資料庫訪問許可權？又是如何進行解密，獲得了住戶私人信息？我們一一道來。

一、惡意代碼

由惡意代碼寫的軟體也叫惡意軟體。它是指在系統里執行惡意任務的程序，如病毒、蠕蟲，被黑客嵌入到凱悅酒店的卡片中，在別的程序運行時自動運行，從而破壞凱悅酒店的系統。常見的惡意代碼傳播有以下幾種途徑：

①病毒：病毒具有自我複製的功能，當被感染的文件執行操作後，病毒會自我繁殖，破壞系統和程序。

②木馬：木馬會像正常的應用程序那樣在系統中運行，這種程序一般不容易被發現，隱藏著惡意。

③移動代碼：移動代碼是能夠從主機傳輸到客戶端電腦上並執行的代碼，通常以病毒、蠕蟲或是木馬的一部分的形式傳送到用戶的電腦上。此外，移動代碼還可以利用系統的漏洞進行入侵，就像入侵凱悅的酒店系統，非法的訪問數據和盜取信息。

二、查找漏洞

漏洞是指系統在邏輯設計上的缺陷或者在編寫時產生的錯誤，這個缺陷或錯誤被不法者利用，通過植入惡意代碼來攻擊或控制整個系統，從而竊取系統中的重要資料和信息，甚至破壞系統，有的漏洞是人為留下的，有的漏洞是硬體產生的。

①IE7漏洞

導致該漏洞出現的原因，主要是由於XML解析字元串SRC片段時導致，利用這個漏洞，黑客可以輕易地構造出帶有攻擊性的網頁代碼，並可以將這個惡意代碼植入任意網頁——所有通過IE內核訪問網頁的軟體都可以被插入攻擊代碼，所以逼得微軟不得不在一年半的時間裡第二次緊急發布系統補丁。

②Adobe Flash漏洞

在黑客大賽中Shane Macaulay 利用Adobe公司的Flash軟體中的一個安全漏洞突破了運行Windows Vista操作系統的筆記本電腦，隨即，這個漏洞的利用在互聯網上爆發，相關的漏洞利用程序層出不窮。

像微軟這樣的高科技企業的系統漏洞尚且存在，更不要說酒店的管理系統，只要惡意代碼被植入，那麼就一定能找出漏洞。

三、攻破資料庫

什麼是資料庫呢？其實就是存放數據的倉庫，每個網站都有自己的資料庫，將客戶的登錄用戶名和密碼還有其他的一些信息存放在這，一旦資料庫被攻破，那麼客戶的信息也就泄露了。下面介紹幾種攻擊資料庫方法：

①SQL溢出

SQL是一種資料庫的查詢和編程語言，它可以對資料庫中的數據進行組織、管理和檢索。它集數據查詢、數據操作、數據定義和數據控制等功能於一體。作為一個資料庫開發平台，SQL資料庫引擎為關係型數據和結構化數據提供了更安全可靠的存儲功能，使用戶可以構建和管理用於業務的高可用和高性能的數據應用程序。與其他伺服器組件存在漏洞一樣，SQL Server也存在很多漏洞，最高級別漏洞可以讓黑客輕鬆拿下伺服器的系統管理員許可權。比如「Microsoft SQL Server 2000 Resolution服務存在堆棧緩衝溢出攻擊」。

②SQL弱口令

弱口令這個很好理解，就是設置的密碼強度不高，選擇了「空密碼」或者是「123」這種簡單的密碼，從而讓黑客有可乘之機，比如一款SQL掃描工具Hscan，就可以快速的破解出弱口令。

③SQL注入

SQL注入是目前流行的資料庫攻擊方法之一，它的含義就是利用資料庫的外部介面把用戶虛構的數據插入到當前資料庫中，從而達到入侵資料庫乃至操作系統的目的。比方說，在利用腳本語言設計的前台頁面中，必須由用戶提交一些信息，如登錄用戶名和密碼，如果這些由用戶提交的信息被攻擊者利用，就可能把本來正確的SQL語句篡改成攻擊者所想要的語句。

資料庫被破解之後，那麼裡面存在的用戶信息就有不法分子獲取到了，所以我們強烈呼籲各大企業做好安全防範，保護好我們的隱私。

這個應該只有學習計算機專業的或者自學黑客的人才能告訴你具體的侵入步驟吧，現在確實有些公司的系統是非常好入侵的，因為小可上大學時，一個學習會計專業的男生，自學的黑客，結果把一個二百台電腦的網吧給整黑了一天，那一天那個大型網吧好像虧損了差不多二十萬。

記得那時候正上大二下學期，這個男生喜歡的其實一直是電腦，所以他平時會計專業沒有課就會跑去計算機系旁聽，並且還會買很多很厚的電腦書回來看。

後來某一天小可跟幾個女生跟著他一起去網吧打CS，我們買的時間快到了，可是遊戲打的正是興起時，與是此時的他說，他看看能不能入侵前台的電腦給我們的電腦改個時間。

於是他就在那裡開始搗鼓電腦，過了半個小時以後，全部電腦黑屏了，很多人都在那唉著叫，網管趕緊去搶修，結果過了一會兒所有人的電腦又全都亮了，然後時間全都被改成歸零了。

當時網管沒有發現，而很多人都在那叫時間不對怎麼的，網管開始找原因，然後就可勁研究去了，我們的遊戲打完以後，想要回學校了，而他又開始在那搗鼓電腦，等我們退了卡，走的時候，沒走多遠就聽他說網吧的電腦應該全都黑屏了。

結果第二天到了班級里就聽說，那個網吧昨天黑屏一天沒找到原因。

小可想一個不是專業計算機系的都可以自學到這種程度，應該專業的黑客入侵個酒店支付系統應該是非常容易的事吧。