這次攜程網(wǎng)泄露用戶支付信息事件正發(fā)生在傳統(tǒng)金融業(yè)與互聯(lián)網(wǎng)金融激烈博弈期間,以用戶安全為由,監(jiān)管部門正要對(duì)第三方支付施加諸多限制,在這個(gè)關(guān)鍵時(shí)期爆出這樣的事情,攜程可謂給央行想睡覺就送上了枕頭。
最后,再提醒下各位,當(dāng)心那些具備互聯(lián)網(wǎng)思維的騙子集團(tuán)利用這次攜程泄密事件趁虛而入,利用你的不安全感,給你打來這樣的電話:您好,我是XX銀行的,因?yàn)檫@次攜程信息泄露,我們懷疑您的信用卡信息已經(jīng)被盜,需要更新信用卡信息,請(qǐng)聽到滴聲以后,把您信用卡的帳戶名、密碼以及新的密碼輸入到系統(tǒng)中,我們?yōu)槟僮?.....
by信海光微天下(在這里分享我的見與識(shí)......微信搜索加關(guān)注)
為什么大新聞總是出在周末?
3月1日昆明火車戰(zhàn)恐怖襲擊案,發(fā)生在星期六的夜里。
3月8日馬航飛機(jī)失聯(lián),發(fā)生在星期六的早晨。
3月23日攜程用戶銀行卡泄密事件,又是發(fā)生在星期六的夜里。
這是要在三月份累死記者的節(jié)奏啊。
區(qū)別是,前兩次都懷疑是與恐怖襲擊有關(guān),而第三次是攜程干的,共同點(diǎn)是:都?jí)驀樔说模?/p>
對(duì)了,3月15日也是個(gè)星期六,央視打假晚會(huì)曝光各企業(yè)后,為了跟蹤報(bào)道加班的記者更多。
因?yàn)閺氖碌氖腔ヂ?lián)網(wǎng)業(yè),周圍的人對(duì)這次攜程用戶銀行卡泄密事件都相當(dāng)敏感,不怕一萬就怕萬一,第一時(shí)間致電發(fā)卡銀行,請(qǐng)求更換信用卡或掛失,可能是接入用戶過多,打招商銀行客服電話還遭遇占線,這是以前從未遇到過的,可見,此事涉及面之廣。
這次披露攜程漏洞問題的是烏云(WooYun)漏洞平臺(tái)。烏云漏洞平臺(tái)在22日公布的信息顯示,“由于攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能,將用戶支付的記錄用文本保存了下來。同時(shí)因?yàn)楸4嬷Ц度罩镜姆?wù)器未做校嚴(yán)格的基線安全配置,存在目錄遍歷漏洞,導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取”。
而且這不是個(gè)謠言或者猜測(cè),隨后攜程承認(rèn)了漏洞的存在。
盡管烏云漏洞平臺(tái)在報(bào)告時(shí)措辭比較專業(yè),但“可被任意駭客讀取”幾個(gè)字消費(fèi)者還是懂的,這也是恐慌的根源。那么到底該如何評(píng)估這次泄密事件的嚴(yán)重性呢?基本判斷有四點(diǎn),第一,這次攜程泄密事件與2012年CSDN泄密事件有所不同,CSDN泄密是歷史數(shù)據(jù)庫泄露,服務(wù)器被入侵,而這次攜程泄密不涉及數(shù)據(jù)卡被泄的問題,只是正在支付的數(shù)據(jù),才有被黑客盜取的可能;第二,但是這次攜程泄密比CSDN泄密事件后果要嚴(yán)重,因?yàn)镃SDN泄露的并非金融數(shù)據(jù),只是網(wǎng)站注冊(cè)的郵箱、用戶名、密碼等,但攜程泄密的則是用戶的銀行卡信息,比如攜程用戶持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin等信息都可能遭外泄,這也是為什么很多用戶會(huì)急著更換信用卡。因?yàn)楝F(xiàn)在網(wǎng)絡(luò)信用卡支付流程已經(jīng)非常簡(jiǎn)單,比如在美國(guó)亞馬遜網(wǎng)站海淘,注冊(cè)用戶輸入信用卡號(hào),CVV碼既能成功消費(fèi),連密碼都不用,相關(guān)信息一旦被動(dòng),很可能會(huì)造成嚴(yán)重?fù)p失,之前也有媒體報(bào)道,攜程網(wǎng)會(huì)員在多次購買支付酒店或機(jī)票價(jià)款后,只需提供卡號(hào)后四位及CVV2碼,攜程網(wǎng)就會(huì)完成下一次支付操作;第三,盡管只是漏洞出現(xiàn)后曾經(jīng)在攜程網(wǎng)用銀行卡消費(fèi)過的用戶有可能被泄密,但攜程網(wǎng)這個(gè)漏洞到底存在多長(zhǎng)時(shí)間目前還搞不清楚,攜程稱該漏洞受影響的用戶為“近期的部分交易客戶”,但這個(gè)近期到底是多久,幾天,幾個(gè)月,還是一年?
事件發(fā)生后攜程在微博上說“向用戶誠(chéng)懇道歉”,并稱漏洞已修復(fù),承諾愿意為未來因安全漏洞引起的用戶損失承擔(dān)賠付責(zé)任。但在這份“申明”中,對(duì)泄密事件的一些細(xì)節(jié)卻含糊其辭,沒有直面的勇氣。
比如,攜程為什么要“將用戶支付的記錄用文本保存了下來”,在一月份曾有媒體質(zhì)疑攜程網(wǎng)的支付安全性,當(dāng)時(shí)攜程明確回復(fù)說“攜程網(wǎng)的后臺(tái)不會(huì)記錄用戶的支付信息”。是當(dāng)初在撒謊,還是后來又“變壞”?攜程網(wǎng)為什么要存用戶的CVV?用汽車之家創(chuàng)始人李想的話說:“交易網(wǎng)站存CVV相當(dāng)于小時(shí)工偷偷配了你家的鑰匙,同時(shí),他還知道關(guān)于你家所有的信息。而存儲(chǔ)了用戶信用卡的CVV,還泄漏了,前一個(gè)是企業(yè)的基本道德問題,后一個(gè)是安全問題。”“有些信息可以存,有些信息無論如何也不能存,攜程存了無論如何也不該存的CVV,這相當(dāng)于把你信用卡的密碼存儲(chǔ)并泄漏了。需要輸入CVV和存儲(chǔ)CVV是兩個(gè)概念。這時(shí)候還幫著攜程說話的,就是典型的被賣了還幫著數(shù)錢的?!?/p>
再比如,即便保存了用戶信息,為什么要用明文存儲(chǔ)?2012年CSDN泄密事件,引起廣泛反思的,就是網(wǎng)站不應(yīng)該用明文存儲(chǔ)用戶密碼信息,北京有關(guān)部門甚至還因此向CSDN網(wǎng)運(yùn)營(yíng)公司提出了具體整改要求,并做出行政警告處罰。教訓(xùn)如此嚴(yán)重,沒過多久,攜程再犯這種錯(cuò)誤,實(shí)在不該。
關(guān)于網(wǎng)站在用戶支付過程中該如何保護(hù)用戶信息,國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)不止一個(gè),國(guó)際上比較權(quán)威的是PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)),加入此標(biāo)準(zhǔn)認(rèn)證的企業(yè)都要接受嚴(yán)苛的年度安全評(píng)估,并且每個(gè)季度都在接受PCI認(rèn)證要求的ASV弱點(diǎn)掃描。但國(guó)內(nèi)主動(dòng)進(jìn)行這項(xiàng)認(rèn)證的網(wǎng)站只是少數(shù)(好像只有去哪兒一家),去年底,還有媒體報(bào)道未能在攜程上找到PCI-DSS認(rèn)證標(biāo)識(shí)。
攜程是行業(yè)巨頭,又是上市公司,居然也在安全問題上犯這樣的低級(jí)錯(cuò)誤,只能說沒有把用戶的利益放在第一位,同時(shí)也反映出當(dāng)前中國(guó)互聯(lián)網(wǎng)界整體安全意識(shí)淡薄的現(xiàn)狀。存儲(chǔ)用戶支付信息、明文保存用戶密碼......網(wǎng)站進(jìn)行這些不規(guī)范操作的時(shí)候未必心存惡念,它們很多只是為了提供更簡(jiǎn)潔的流程,以表面上更好的體驗(yàn)留住用戶(“攜程在手,說走就走”),以便在競(jìng)爭(zhēng)中取得領(lǐng)先地位,但實(shí)質(zhì)上,卻是以用戶網(wǎng)絡(luò)安全上的付出為代價(jià)。
這次攜程網(wǎng)泄露用戶支付信息事件正發(fā)生在傳統(tǒng)金融業(yè)與互聯(lián)網(wǎng)金融激烈博弈期間,以用戶安全為由,監(jiān)管部門正要對(duì)第三方支付施加諸多限制,在這個(gè)關(guān)鍵時(shí)期爆出這樣的事情,攜程可謂給央行想睡覺就送上了枕頭。
最后,提醒下各位,當(dāng)心那些具備互聯(lián)網(wǎng)思維的騙子集團(tuán)利用這次攜程泄密事件趁虛而入,利用你的不安全感,給你打來這樣的電話:您好,我是XX銀行的,因?yàn)檫@次攜程信息泄露,我們懷疑您的信用卡信息已經(jīng)被盜,需要更新信用卡信息,請(qǐng)聽到滴聲以后,把您信用卡的帳戶名、密碼以及新的密碼輸入到系統(tǒng)中,我們?yōu)槟僮?.....
【信海光微天下】是著名的泛科技人文類自媒體,除了這里,在微博上還擁有累計(jì)400萬粉絲(新浪微博35萬活躍粉絲),是新浪最有影響力科技博客之一,門戶網(wǎng)站累計(jì)3000萬訪問量,在搜狐新聞客戶端擁有35萬訂戶,并是虎嗅、FT中文網(wǎng)、艾瑞、財(cái)新、百度百家等多個(gè)專業(yè)網(wǎng)站知名專欄作者,《新京報(bào)》、《21世紀(jì)經(jīng)濟(jì)報(bào)道》等傳統(tǒng)媒體長(zhǎng)期撰稿人(涵社論),并曾有多篇文章被美國(guó)時(shí)代周刊網(wǎng)等境外媒體轉(zhuǎn)載引用?!拘藕9馕⑻煜隆渴荳eMedia聯(lián)盟重要成員。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營(yíng)
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場(chǎng)關(guān)注
- 馬斯克能否成為 AI 部部長(zhǎng)?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號(hào)發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺(tái)低空重力測(cè)量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢(shì)拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。