携程们的警钟!“泄露门”重创网络支付
王冠雄 王冠雄

携程们的警钟!“泄露门”重创网络支付

& 8203;i黑马认为,携程带来的是一次警醒,其实大规模泄密事件在中国已经屡见不鲜。但在互联网商业化高速发展的今天,我们应该开始做点什么。安全问题,将可能成为悬在中国互联网商业化道路上的“达摩利斯之剑”。

i黑马认为,“携程账户泄密”带来的是一次警醒,其实大规模泄密事件在中国已经屡见不鲜。但在互联网商业化高速发展的今天,我们应该开始做点什么。安全问题,将可能成为悬在中国互联网商业化道路上的“达摩利斯之剑”。


携程“泄露门”是中国网络支付的一次标志性安全事故。

这次波及全国的信用卡信息大泄露,为日益增长的网络支付市场敲响了警钟。在线旅行网站为了测试和运营方便,就敢存储用户CVV2信息。那么,还有哪些地方安放着我们的隐私?

相比国外,我们还需要做很多。没有完美的法律,法律之外要靠自律。请携程们流淌一点道德的血液。否则,损失的将是中国互联网产业的公信力。

【一夜之间换卡忙】

周六(3月22日)晚间,携程被曝出重大安全漏洞,足以导致用户信用卡信息泄露。

据专业漏洞报告平台乌云网公布,携程安全支付日志可下载,导致用户银行卡信息泄露(包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin)。此外,携程还被曝出某分站的源代码包可以直接下载!

携程,中国网络预定机票酒店的老大,市值64亿美金的境外上市公司,用户数何止几千万。兹事体大,网上一下子炸锅。微博讨论铺天盖地,微信朋友圈被刷屏,微信群不断弹出消息。社交网络的威力,让此事一夜之间传遍全国。

一开始我以为只是记录了个人卡号,心想反正盗刷了银行要赔。查了一下才吓了一跳,根据PCI DSS(第三方支付行业数据安全标准),CVV2 属于不允许存储的“敏感数据”。更重要的是,敏感资料泄露,就是一系列不安全的开始。

在网站上需要输入CVV,和存储CVV是两个概念。有些信息可以存,有些信息无论如何也不能存,携程存了“无论如何也不该存的CVV”,这相当于把你信用卡的密码存储并泄露了。汽车之家创始人兼总裁李想表示,“这时候还帮着携程说话的,就是典型的被卖了还帮着数钱的。”

更滑稽的是,曝光后微信公共账号却一度禁止发出相关消息,不知道这是携程的推动,还是招行的推动?我只想说,这种危机公关弱智之极。

像许多网友一样,我也在大周末被迫紧急换卡了。虽然招行是免费换卡(据说广发收30块挂失费+15元补卡费),电话占线不说,给早已习惯了刷卡消费的我带来很多不便。为自己代言,每个用户都有表达自己感受的权利。

【网络支付遭遇信任危机】

除了事件性质严重之外,携程轻描淡写的态度也令不少用户愤怒。

“经查,这是携程旅行网在技术调试过程中,出现了短时漏洞。消息发布后,携程立即展开技术排查,并在两小时内修复了这个漏洞。据携程排查,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响。

事件发生后,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。携程郑重承诺,未来,倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。携程旅行网一贯对信息安全非常重视,为了更好地保障用户及网站的安全,将广邀信息安全卫士,一起来加固系统信息安全。上周,携程已建立安全应急响应中心,并设立了信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。”

媒体人黑马说,“携程这就是废话,因为根本无法判断是否是被盗用的,他肯定让用户自己举证!负责任的做法是,携程直接与所有涉及的银行沟通,所有涉及卡片全部重做、下发。”

网友王笺更言辞激烈地在微博上表示,“应该对携程巨额罚款,为什么要保存不应该保存的信用卡信息?每次订房携程明确告知我不会保存的,这种骗人的商家就不应该让它存在,直接叫它破产干净!”

在线旅行老大都这么干,那支付宝、微信支付、其它第三方支付呢?这么搞,破坏的是整个产业的公信力。严肃地说,也让前一阵央行紧急叫停部分网络支付有了现实理由。

诚如李想所言,“存储了用户信用卡的CVV,还泄露了。前一个是企业的基本道德问题,后一个是安全问题。”

作为在线旅行老大,作为一个老牌蓝筹股,我希望携程真正反思道歉,用负责任的态度确保用户安全,并向所有换卡用户补偿,为行业做出表率。

【他山之石:国外“法律重罚+两大招”】

有网友说:“令人不安的是,携程漏洞也许不是偶然的事情,是黑客搞到数据才被曝光的。那么,到底还有多少数据是已被黑客拿到了但我们不知道的呢?”

资深互联网安全人士RoyLi表示,整体上中国网民的安全意识还处在上世纪水平,很多用户上网时,并不会较真网站声明,而采取了默认的信任。而在国外,只要涉及敏感用户隐私的网站,都需要一个非常复杂的声明:声称绝不会存储不该存储的信息,也不会向用户询问隐私信息(反诈骗提醒)。

在国外身份窃取或信用卡诈骗是联邦重罪, 为了预防和打击犯罪,信用卡公司和金融机构每年投入大量经费,联合治理网络支付安全。其中最著名的是 PCI-DSS compliance和信用卡3D验证,其中PCI是预防信息泄露,3D是防止盗取信息者牟利。

携程这个接口属于站内支付,管理支付网站安全的国际标准就是PCI compliance。PCI就是Payment Card Industry,DSS就是data storage security。PCI标准要求非常高,需要实时更新。提供PCI验证服务的公司,通常会多方面地地毯式扫描找出各类漏洞,还要网站在申请时严格申明“不能保存不该存的信息,以及不可以不使用 SSL 加密数据传输(避免数据嗅探)”。

3D验证则在不同国家有不同做法,多数是通过大数据检验你是否是在常用设备和IP上登录,以及行为是否正常。如果不是弹一个小窗,需要输入更隐私的信息,可以是密码保护问题,也可能是生日,社会保险号等,目的是验证使用者确实是你。举个例子,盗取Paypal的黑客即便是在被盗用户自己的机器上都有可能在提现时被锁号。

以上两“大招”加起来是否能完全避免信息泄露的损失呢?Roy Li认为,“当然这也做不到100%绝对安全,但至少体现了一种态度。国内大多数公司平常不把安全落实到实处,得过且过,等出了问题才修复和危机公关。”

“我相信携程有能力做到完全PCIcompliance 并时刻更新,也能把网络安全措施做到国际水准,但是它却没有。在一个连地沟油、毒奶粉都没有FDA这样严格标准监管的地方,PCI确实不是一个性价比高的东西,还不如花点钱多投点广告来点流量更实际。”Roy Li说。

中国互联网互骂互殴是常态,网民出了事第一反应是“狗咬狗”。在移动互联网狂野爆发、移动支付如火如荼的今天,这种恶性泄露事件,更是一记重拳。网民经不起这样的折腾了!请向国际标准看齐,请拿出态度重塑信任。

请携程们流淌一点道德的血液。至少为了你自己的生意,也为了所有网民。

我信仰互联网,因为它实现了人和一切的自由连接。在这里读懂互联网,跟上时代


本文来自科技自媒体,微信[王冠雄]


携程 网络安全
赞(...)
文章评论
匿名用户
发布