AD
3月22日,乌云(WooYun)漏洞平台披露,携程旅行网支付日志存在严重漏洞,用户银行卡信息可被黑客任意读取,其中包含持卡人身份证、银行卡号、卡CVV码等等。那么,从专业角度来讲,携程到底犯了什么错?
携程官方给出的评论是,“由于疏忽,在调试过程中,有两小时左右用户的支付信息是被明文保存在服务器上,但这些数据没有被保存在任何数据库里面,只是存在日志中间”。这看起来很像是一场意外,但是请注意,上面说的是如果没有黑客入侵的情况。事实上还真就能入侵,因为存在另一个漏洞—安全日志可以遍历下载。但是这个漏洞也某种程度转移了注意力,让携程把用户的目光转移到:消灭遍历漏洞,就能保护住用户隐私安全了。那么如果这个安全日志遍历漏洞没有爆出来的话,就是安全了吗?
这就好比你在我的店里消费刷卡,去刷POS机的时候,把你的卡号和密码记在了一张纸上,如果我把它锁到一个保险(放心保)箱里,我也不盗你的卡,你我都会相安无事,但是很不幸有一天保险箱被人撬开了,你的卡被盗刷了,这下麻烦就来了。
很多用户在上网的时候,并不会较真一些网站的声明,而采取了默认的信任。而在国外,只要涉及敏感用户隐私的网站,都需要一个非常复杂的声明,声称绝对不会存储不该存储的信息,也不会向用户询问隐私信息(反诈骗提醒)。
可见,网络安全技术上固然复杂繁琐,但是技术问题不可怕,可怕的是意识问题。我们在工作中无论是无心还是有意的,没有把用户隐私放到一个神圣的地位来对待。用户本身也不会发现,你平常去一个网站,你很可能使用的就是你支付宝的密码,如果这个网站保存下来了,你根本就察觉不到,如果被泄露了,在现行法律下,执法机构抓不到黑客的话,也很难追究到网站的责任,这个苦水就只有自己吞了。
在国外,身份窃取或者是信用卡诈骗都是重罪,为了预防和打击可能的犯罪,信用卡公司和金融机构每年投入大量的经费,联合治理网络支付安全。其中最著名的是PCI-DSS预防信息泄漏。据悉,PCI-DSS是目前国内安全支付产业的最高标准,能通过绝非易事;而且每3个月都需要更新一次。值得注意的是,因为PCI标准的审核非常严格,且会落实到具体的技术实现细节,目前在国内,只有为数不多的企业通过了该项标准的合规评估和验证,而去哪儿网为目前国内惟一一家通过该认证的旅游预订平台。
作为早已通过PCI认证的通过方,去哪儿网CTO吴永强表示,去哪儿网早在2012年12月就已顺利通过PCI认证,表明去哪儿网的系统在安全管理、网络系统结构、软件设计等方面,能够全面保障用户的交易安全。吴永强强调,我们一直在此项目上加大技术和资金投入。事实上,去哪儿网从2011年便推出了“担保通”保障体系,全方位地保障消费者的消费安全,而PCI合规作为这个保障体系中重要的一环,是值得去哪儿网花费大量人力、物力做投入的。
