为什么大新闻总是出在周末?
3月1日昆明火车战恐怖袭击案,发生在星期六的夜里。
3月8日马航飞机失联,发生在星期六的早晨。
3月23日携程用户银行卡泄密事件,又是发生在星期六的夜里。
这是要在三月份累死记者的节奏啊。
区别是,前两次都怀疑是与恐怖袭击有关,而第三次是携程干的,共同点是:都够吓人的!
对了,3月15日也是个星期六,央视打假晚会曝光各企业后,为了跟踪报道加班的记者更多。
因为从事的是互联网业,周围的人对这次携程用户银行卡泄密事件都相当敏感,不怕一万就怕万一,第一时间致电发卡银行,请求更换信用卡或挂失,可能是接入用户过多,打招商银行客服电话还遭遇占线,这是以前从未遇到过的,可见,此事涉及面之广。
这次披露携程漏洞问题的是乌云(WooYun)漏洞平台。乌云漏洞平台在22日公布的信息显示,“由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取”。
而且这不是个谣言或者猜测,随后携程承认了漏洞的存在。
尽管乌云漏洞平台在报告时措辞比较专业,但“可被任意骇客读取”几个字消费者还是懂的,这也是恐慌的根源。那么到底该如何评估这次泄密事件的严重性呢?基本判断有四点,第一,这次携程泄密事件与2012年CSDN泄密事件有所不同,CSDN泄密是历史数据库泄露,服务器被入侵,而这次携程泄密不涉及数据卡被泄的问题,只是正在支付的数据,才有被黑客盗取的可能;第二,但是这次携程泄密比CSDN泄密事件后果要严重,因为CSDN泄露的并非金融数据,只是网站注册的邮箱、用户名、密码等,但携程泄密的则是用户的银行卡信息,比如携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息都可能遭外泄,这也是为什么很多用户会急着更换信用卡。因为现在网络信用卡支付流程已经非常简单,比如在美国亚马逊网站海淘,注册用户输入信用卡号,CVV码既能成功消费,连密码都不用,相关信息一旦被动,很可能会造成严重损失,之前也有媒体报道,携程网会员在多次购买支付酒店或机票价款后,只需提供卡号后四位及CVV2码,携程网就会完成下一次支付操作;第三,尽管只是漏洞出现后曾经在携程网用银行卡消费过的用户有可能被泄密,但携程网这个漏洞到底存在多长时间目前还搞不清楚,携程称该漏洞受影响的用户为“近期的部分交易客户”,但这个近期到底是多久,几天,几个月,还是一年?
事件发生后携程在微博上说“向用户诚恳道歉”,并称漏洞已修复,承诺愿意为未来因安全漏洞引起的用户损失承担赔付责任。但在这份“申明”中,对泄密事件的一些细节却含糊其辞,没有直面的勇气。
比如,携程为什么要“将用户支付的记录用文本保存了下来”,在一月份曾有媒体质疑携程网的支付安全性,当时携程明确回复说“携程网的后台不会记录用户的支付信息”。是当初在撒谎,还是后来又“变坏”?携程网为什么要存用户的CVV?用汽车之家创始人李想的话说:“交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。而存储了用户信用卡的CVV,还泄漏了,前一个是企业的基本道德问题,后一个是安全问题。”“有些信息可以存,有些信息无论如何也不能存,携程存了无论如何也不该存的CVV,这相当于把你信用卡的密码存储并泄漏了。需要输入CVV和存储CVV是两个概念。这时候还帮着携程说话的,就是典型的被卖了还帮着数钱的。”
再比如,即便保存了用户信息,为什么要用明文存储?2012年CSDN泄密事件,引起广泛反思的,就是网站不应该用明文存储用户密码信息,北京有关部门甚至还因此向CSDN网运营公司提出了具体整改要求,并做出行政警告处罚。教训如此严重,没过多久,携程再犯这种错误,实在不该。
关于网站在用户支付过程中该如何保护用户信息,国内外相关标准不止一个,国际上比较权威的是PCI-DSS(第三方支付行业数据安全标准),加入此标准认证的企业都要接受严苛的年度安全评估,并且每个季度都在接受PCI认证要求的ASV弱点扫描。但国内主动进行这项认证的网站只是少数(好像只有去哪儿一家),去年底,还有媒体报道未能在携程上找到PCI-DSS认证标识。
携程是行业巨头,又是上市公司,居然也在安全问题上犯这样的低级错误,只能说没有把用户的利益放在第一位,同时也反映出当前中国互联网界整体安全意识淡薄的现状。存储用户支付信息、明文保存用户密码......网站进行这些不规范操作的时候未必心存恶念,它们很多只是为了提供更简洁的流程,以表面上更好的体验留住用户(“携程在手,说走就走”),以便在竞争中取得领先地位,但实质上,却是以用户网络安全上的付出为代价。
这次携程网泄露用户支付信息事件正发生在传统金融业与互联网金融激烈博弈期间,以用户安全为由,监管部门正要对第三方支付施加诸多限制,在这个关键时期爆出这样的事情,携程可谓给央行想睡觉就送上了枕头。
最后,提醒下各位,当心那些具备互联网思维的骗子集团利用这次携程泄密事件趁虚而入,利用你的不安全感,给你打来这样的电话:您好,我是XX银行的,因为这次携程信息泄露,我们怀疑您的信用卡信息已经被盗,需要更新信用卡信息,请听到滴声以后,把您信用卡的帐户名、密码以及新的密码输入到系统中,我们为您操作......