這次攜程網(wǎng)泄露用戶支付信息事件正發(fā)生在傳統(tǒng)金融業(yè)與互聯(lián)網(wǎng)金融激烈博弈期間，以用戶安全為由，監(jiān)管部門正要對第三方支付施加諸多限制，在這個關(guān)鍵時期爆出這樣的事情，攜程可謂給央行想睡覺就送上了枕頭。

最后，再提醒下各位，當(dāng)心那些具備互聯(lián)網(wǎng)思維的騙子集團利用這次攜程泄密事件趁虛而入，利用你的不安全感，給你打來這樣的電話：您好，我是XX銀行的，因為這次攜程信息泄露，我們懷疑您的信用卡信息已經(jīng)被盜，需要更新信用卡信息，請聽到滴聲以后，把您信用卡的帳戶名、密碼以及新的密碼輸入到系統(tǒng)中，我們?yōu)槟僮?.....

by信海光微天下（在這里分享我的見與識......微信搜索加關(guān)注）

為什么大新聞總是出在周末？

3月1日昆明火車戰(zhàn)恐怖襲擊案，發(fā)生在星期六的夜里。

3月8日馬航飛機失聯(lián)，發(fā)生在星期六的早晨。

3月23日攜程用戶銀行卡泄密事件，又是發(fā)生在星期六的夜里。

這是要在三月份累死記者的節(jié)奏啊。

區(qū)別是，前兩次都懷疑是與恐怖襲擊有關(guān)，而第三次是攜程干的，共同點是：都夠嚇人的！

對了，3月15日也是個星期六，央視打假晚會曝光各企業(yè)后，為了跟蹤報道加班的記者更多。

因為從事的是互聯(lián)網(wǎng)業(yè)，周圍的人對這次攜程用戶銀行卡泄密事件都相當(dāng)敏感，不怕一萬就怕萬一，第一時間致電發(fā)卡銀行，請求更換信用卡或掛失，可能是接入用戶過多，打招商銀行客服電話還遭遇占線，這是以前從未遇到過的，可見，此事涉及面之廣。

這次披露攜程漏洞問題的是烏云（WooYun）漏洞平臺。烏云漏洞平臺在22日公布的信息顯示，“由于攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能，將用戶支付的記錄用文本保存了下來。同時因為保存支付日志的服務(wù)器未做校嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取”。

而且這不是個謠言或者猜測，隨后攜程承認(rèn)了漏洞的存在。

盡管烏云漏洞平臺在報告時措辭比較專業(yè)，但“可被任意駭客讀取”幾個字消費者還是懂的，這也是恐慌的根源。那么到底該如何評估這次泄密事件的嚴(yán)重性呢？基本判斷有四點，第一，這次攜程泄密事件與2012年CSDN泄密事件有所不同，CSDN泄密是歷史數(shù)據(jù)庫泄露，服務(wù)器被入侵，而這次攜程泄密不涉及數(shù)據(jù)卡被泄的問題，只是正在支付的數(shù)據(jù)，才有被黑客盜取的可能；第二，但是這次攜程泄密比CSDN泄密事件后果要嚴(yán)重，因為CSDN泄露的并非金融數(shù)據(jù)，只是網(wǎng)站注冊的郵箱、用戶名、密碼等，但攜程泄密的則是用戶的銀行卡信息，比如攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息都可能遭外泄，這也是為什么很多用戶會急著更換信用卡。因為現(xiàn)在網(wǎng)絡(luò)信用卡支付流程已經(jīng)非常簡單，比如在美國亞馬遜網(wǎng)站海淘，注冊用戶輸入信用卡號，CVV碼既能成功消費，連密碼都不用，相關(guān)信息一旦被動，很可能會造成嚴(yán)重?fù)p失，之前也有媒體報道，攜程網(wǎng)會員在多次購買支付酒店或機票價款后，只需提供卡號后四位及CVV2碼，攜程網(wǎng)就會完成下一次支付操作；第三，盡管只是漏洞出現(xiàn)后曾經(jīng)在攜程網(wǎng)用銀行卡消費過的用戶有可能被泄密，但攜程網(wǎng)這個漏洞到底存在多長時間目前還搞不清楚，攜程稱該漏洞受影響的用戶為“近期的部分交易客戶”，但這個近期到底是多久，幾天，幾個月，還是一年？

事件發(fā)生后攜程在微博上說“向用戶誠懇道歉”，并稱漏洞已修復(fù)，承諾愿意為未來因安全漏洞引起的用戶損失承擔(dān)賠付責(zé)任。但在這份“申明”中，對泄密事件的一些細(xì)節(jié)卻含糊其辭，沒有直面的勇氣。

比如，攜程為什么要“將用戶支付的記錄用文本保存了下來”，在一月份曾有媒體質(zhì)疑攜程網(wǎng)的支付安全性，當(dāng)時攜程明確回復(fù)說“攜程網(wǎng)的后臺不會記錄用戶的支付信息”。是當(dāng)初在撒謊，還是后來又“變壞”？攜程網(wǎng)為什么要存用戶的CVV？用汽車之家創(chuàng)始人李想的話說：“交易網(wǎng)站存CVV相當(dāng)于小時工偷偷配了你家的鑰匙，同時，他還知道關(guān)于你家所有的信息。而存儲了用戶信用卡的CVV，還泄漏了，前一個是企業(yè)的基本道德問題，后一個是安全問題?！薄坝行┬畔⒖梢源妫行┬畔o論如何也不能存，攜程存了無論如何也不該存的CVV，這相當(dāng)于把你信用卡的密碼存儲并泄漏了。需要輸入CVV和存儲CVV是兩個概念。這時候還幫著攜程說話的，就是典型的被賣了還幫著數(shù)錢的?！?/p>

再比如，即便保存了用戶信息，為什么要用明文存儲？2012年CSDN泄密事件，引起廣泛反思的，就是網(wǎng)站不應(yīng)該用明文存儲用戶密碼信息，北京有關(guān)部門甚至還因此向CSDN網(wǎng)運營公司提出了具體整改要求，并做出行政警告處罰。教訓(xùn)如此嚴(yán)重，沒過多久，攜程再犯這種錯誤，實在不該。

關(guān)于網(wǎng)站在用戶支付過程中該如何保護用戶信息，國內(nèi)外相關(guān)標(biāo)準(zhǔn)不止一個，國際上比較權(quán)威的是PCI-DSS（第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)），加入此標(biāo)準(zhǔn)認(rèn)證的企業(yè)都要接受嚴(yán)苛的年度安全評估，并且每個季度都在接受PCI認(rèn)證要求的ASV弱點掃描。但國內(nèi)主動進行這項認(rèn)證的網(wǎng)站只是少數(shù)(好像只有去哪兒一家)，去年底，還有媒體報道未能在攜程上找到PCI-DSS認(rèn)證標(biāo)識。

攜程是行業(yè)巨頭，又是上市公司，居然也在安全問題上犯這樣的低級錯誤，只能說沒有把用戶的利益放在第一位，同時也反映出當(dāng)前中國互聯(lián)網(wǎng)界整體安全意識淡薄的現(xiàn)狀。存儲用戶支付信息、明文保存用戶密碼......網(wǎng)站進行這些不規(guī)范操作的時候未必心存惡念，它們很多只是為了提供更簡潔的流程，以表面上更好的體驗留住用戶（“攜程在手，說走就走”），以便在競爭中取得領(lǐng)先地位，但實質(zhì)上，卻是以用戶網(wǎng)絡(luò)安全上的付出為代價。

這次攜程網(wǎng)泄露用戶支付信息事件正發(fā)生在傳統(tǒng)金融業(yè)與互聯(lián)網(wǎng)金融激烈博弈期間，以用戶安全為由，監(jiān)管部門正要對第三方支付施加諸多限制，在這個關(guān)鍵時期爆出這樣的事情，攜程可謂給央行想睡覺就送上了枕頭。

最后，提醒下各位，當(dāng)心那些具備互聯(lián)網(wǎng)思維的騙子集團利用這次攜程泄密事件趁虛而入，利用你的不安全感，給你打來這樣的電話：您好，我是XX銀行的，因為這次攜程信息泄露，我們懷疑您的信用卡信息已經(jīng)被盜，需要更新信用卡信息，請聽到滴聲以后，把您信用卡的帳戶名、密碼以及新的密碼輸入到系統(tǒng)中，我們?yōu)槟僮?.....

【信海光微天下】是著名的泛科技人文類自媒體，除了這里，在微博上還擁有累計400萬粉絲（新浪微博35萬活躍粉絲），是新浪最有影響力科技博客之一，門戶網(wǎng)站累計3000萬訪問量，在搜狐新聞客戶端擁有35萬訂戶，并是虎嗅、FT中文網(wǎng)、艾瑞、財新、百度百家等多個專業(yè)網(wǎng)站知名專欄作者，《新京報》、《21世紀(jì)經(jīng)濟報道》等傳統(tǒng)媒體長期撰稿人（涵社論），并曾有多篇文章被美國時代周刊網(wǎng)等境外媒體轉(zhuǎn)載引用?！拘藕９馕⑻煜隆渴荳eMedia聯(lián)盟重要成員。

生成海報

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。