科技频道-搜狐网站> 互联网 > 国内互联网
互联网 | 通信 | IT业界 | 自媒体

携程泄密事件在于员工不谨慎

来源:搜狐IT 作者:互联网分析师于斌
 

  漏洞报告平台乌云前天晚上在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。并称已将细节通知厂商并且等待厂商处理中。

  虽然影响比不上华为设备遭美国监听的事儿,但媒体的动作却放大了这件事情的负面效应,今天携程的股价也因此受到了轻微的影响。

  有人说,携程上用过的信用卡都不安全了?其实这种描述非常不准确,容易引起不必要的恐慌,按乌云的描述,是从漏洞出现,直至22日晚上11点漏洞解决这段时间内,进行过支付交易的用户有潜在风险。目前携程官方的说法,是21日22日两天部分用户有影响。

  有人说,我选择把信用卡和携程解绑了。这个真的没有必要,我再强调一次,按乌云的描述,是只有支付过程数据可能被非法获取。换句话说,携程网站本身目前来看是安全的,如果你在近期特别是21日22日两天内,未在携程上直接使用信用卡支付,那么是不受影响的。

  有人说,如果面临风险,应该如何规避、降低风险?(1)如果你是携程21日22日的用户,换卡是最直接最安全的方式。(2)如果你不想换卡,或者无法确定自己是否面临风险,那么纯银联卡可以选择冻结卡。以我挂失卡片的经验来看,双币种卡如果只是冻结,只能阻止银联通道消费,可能无法阻止外币通道的消费。(3)调低或者关闭网上交易,选择每一笔交易都发送提醒短信,可以有效的帮助你控制风险。

  有人说,虽然我不在携程公布受到影响范围内,但还是很担心怎么办?这是一个非常普遍的问题,但是永远没有必定的答案。但是我想告诉你,如果你不在范围内,还非常担心的携程的话,你也可以开始担心你身边的人。理论上他们有更大的几率以观赏你的钱包为名,记录下你信用卡相关资料并恶意消费。

  有人说,我真的一点都没有安全感,虽然不在范围内,还是很纠结。这种人真的不少,昨天在某群里聊到携程,最多的网友就是不在携程公布影响范围内的用户,估计范围内客户都直接选择换卡了。我想说的是,银行还有发卡组织,也不是吃素的,他们会有自己的安全评估体系。例如,你突然在一个陌生地方消费,甚至是检测到你在网银上输入的速度超出平时范围等不正常的状况,都可能会有风险预警。

  有人说,还可以继续信任携程么?我个人会继续使用携程,但是要我完全信任某个第三方,抱歉我做不到,过去就不。不过,携程在我眼中是相对可信的。由于工作的关系,我接触过不少公司和互联网公司的技术、信息安全团队。携程内部对信息安全的控制,在我见过的公司中,意识和重视程度在国内是很高的。

  这次的事件,很多评论文章都没有提到PCI-DSS标准,其实通过这个简单的维度就可以判断哪篇评论靠谱,哪篇不靠谱。PCI-DSS是「第三方支付行业数据安全标准」,由VISA与MasterCard牵头制定。凡是要做第三方支付业务,想在美国上市,必须要过这个标准。而在PCI-DSS标准中,明确的定义了如何实施数据保护,以及哪些信息是可以保存,哪些信息是不能保存(尤其是明文保存)的(比如CVV等敏感信息)。因此携程这次是明确的违反了PCI-DSS的相关规定。

  因为携程在上市的时候肯定是通过了PCI-DSS标准的,由此也可以看出一些安全标准从实施到维持是何等的艰难。而“安全标准”、“合规”的要求现在已经沦落为一门生意,含金量越来越低。实施PCI-DSS的安全公司可能会给客户提交一大堆文档,但真正认真去落地的公司越来越少了。所以通过了安全标准并不意味着什么,只是花钱买了个牌照而已。比如PCI-DSS的要求会产生很多衍生的安全需求,而VISA也投了一些安全公司,他们把这里面的大部分利益给分了。在利益关联之下,对认证的审核必然不会太过严格。

  这次的事件按照携程官方的解释是出于调试的目的记录了临时日志,共涉及到93名用户,未发现其他数据泄露。我相信这个漏洞的提交者“猪猪侠”并不会将这部分数据用于恶意用途,因为他在业内的口碑非常好,且如果想这么干,就不会把漏洞提交给乌云了。但携程是否还存在其他问题却不得而知。

  对于用户而言,可能会产生恐慌心理而要求银行更换信用卡。但除非你以后不再用网上信用卡支付了,否则类似的问题短期内还是很难避免。我相信还有很多公司比携程做的更糟糕,更缺乏规范,特别是一些还没有上市,没有通过PCI-DSS认证的公司,只是这些问题没有被暴露在阳光下,因此你不知道而已。

  对携程来说,这次的事件与其说是技术上的漏洞,不如说是信誉上的危机。同时也让我们看到了安全的重要性:建立用户信任可能需要若干年,毁掉它却只需要一天。

it.sohu.com true 搜狐IT http://it.sohu.com/20140324/n397092737.shtml report 2444  漏洞报告平台乌云前天晚上在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行
(责任编辑:罗园)

我要发布

  • 热点视频
  • 影视剧
  • 综艺
  • 原创
锦绣缘

同步热播-锦绣缘

主演:黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
神雕侠侣

大结局-神雕侠侣

主演:陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
封神英雄榜

同步热播-封神英雄榜

主演:陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓

六颗子弹

主演:尚格·云顿/乔·弗拉尼甘/Bianca Bree
龙虎少年队2

龙虎少年队2

主演:艾斯·库珀/ 查宁·塔图姆/ 乔纳·希尔

《奔跑吧兄弟》

baby14岁写真曝光

《我看你有戏》

李冰冰向成龙撒娇争宠

《明星同乐会》

李湘遭闺蜜曝光旧爱

《非你莫属》

美女模特教老板走秀

《一站到底》

曝搬砖男神奇葩择偶观

搜狐视频娱乐播报

柳岩被迫成赚钱工具

大鹏嘚吧嘚

大屁小P虐心恋

匆匆那年第16集

匆匆那年大结局

隐秘而伟大第二季

乔杉遭粉丝骚扰

The Kelly Show

男闺蜜的尴尬初夜

我来说两句排行榜

客服热线:86-10-58511234

客服邮箱:kf@vip.sohu.com