攜程“泄露門”：莫讓千里之堤潰于蟻穴

2014-03-28 14:31:36 比特網(wǎng)　點(diǎn)擊量：評論 (0)

這兩日，關(guān)于攜程曝出的信用卡安全支付漏洞事件被鬧得沸沸揚(yáng)揚(yáng)。3月22日，據(jù)專業(yè)漏洞報(bào)告平臺烏云網(wǎng)公布，攜程安全支付日志可下載，導(dǎo)致用戶銀行卡信息泄露(包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡

這兩日，關(guān)于攜程曝出的信用卡安全支付漏洞事件被鬧得沸沸揚(yáng)揚(yáng)。3月22日，據(jù)專業(yè)漏洞報(bào)告平臺烏云網(wǎng)公布，攜程安全支付日志可下載，導(dǎo)致用戶銀行卡信息泄露(包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡Bin)。

　　事件發(fā)生后，攜程做出了相關(guān)回應(yīng)。攜程表示：“攜程的技術(shù)開發(fā)人員之前是為了排查系統(tǒng)疑問，留下了臨時日志，因疏忽未及時刪除，目前，這些信息已被全部刪除。”另據(jù)攜程排查：“除了漏洞發(fā)現(xiàn)人做了少量的測試下載并已全部刪除外，沒有出現(xiàn)惡意下載有關(guān)數(shù)據(jù)的情況。經(jīng)各銀行反饋，沒有發(fā)生攜程用戶信用卡被盜刷的情況”。攜程表示，未來如果因安全漏洞引起用戶損失，攜程將承擔(dān)全部責(zé)任并給予賠付。

　　雖然從目前看來，事件的影響似乎未及想象中那般惡劣。但從人們對該事件的關(guān)注程度及各方評論來看，這次波及全國的信用卡信息大泄露，無疑為日益增長的網(wǎng)絡(luò)支付市場帶來了不小的沖擊。

　　從技術(shù)層面講，此次事件是攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能，將用戶支付的記錄用文本保存了下來。同時因?yàn)楸４嬷Ц度罩镜姆?wù)器未做校嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取。

　　然而，在此次事件中，攜程保存客戶信息、特別是對用戶的CVV代碼的記錄是明顯違反銀聯(lián)規(guī)定。特別是PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))明確規(guī)定不允許存儲CVV，而作為支付頁面通過了PCI認(rèn)證的攜程來說，做出這樣的舉動不禁令業(yè)界嘩然。

　　或許攜程此舉并非故意存儲CVV信息，但其數(shù)據(jù)傳輸為明文、線上長時間打開調(diào)試功能、系統(tǒng)日志中亦為明文且未及時清理的做法，明顯違反了“敏感信息需加密存儲、線上開調(diào)試功能需慎重、系統(tǒng)日志要及時清理、服務(wù)器安全性要達(dá)標(biāo)”等常識問題。加之其所存儲的服務(wù)器存在安全漏洞，一系列的因素導(dǎo)致了如今攜程用戶“一夜之間換卡忙”的局面。

　　在網(wǎng)絡(luò)安全界，永遠(yuǎn)沒有絕對的安全，安全就是一場攻防戰(zhàn)。那么，是否我們消滅漏洞，就能夠保護(hù)好信息安全？

　　攜程漏洞的曝出也許不是偶然的事情，但也絕非當(dāng)前互聯(lián)網(wǎng)信息安全中的個例。攜程泄漏門事件告訴我們：決定網(wǎng)絡(luò)安全的攻防戰(zhàn)勝負(fù)的，絕不僅僅只是技術(shù)的問題，而是包含了技術(shù)、安全意識、制度、監(jiān)管、信用機(jī)制等一系列因素。

　　在此次事件中，我們并不主張以最大的惡意去揣測攜程的一系列不規(guī)范操作，但攜程技術(shù)人員的操作行為已然暴露出當(dāng)前從業(yè)人員的安全意識相當(dāng)?shù)?此外，攜程作為已通過PCI-DSS認(rèn)證的企業(yè)，卻做出記錄CVV碼這樣的違規(guī)行為，我們不禁要問，沒有監(jiān)管到位的認(rèn)證，是否只是一個擺設(shè)？

　　另外，攜程“泄露門”事件對正在發(fā)展中的互聯(lián)網(wǎng)金融無疑是重重一擊，同時損失的，還有整個中國互聯(lián)網(wǎng)長久以來建立起來的公信力。

　　如今，網(wǎng)絡(luò)支付已是大勢所趨，互聯(lián)網(wǎng)給我們帶來便捷的同時必然帶來了安全問題。攜程此次的“泄露門”事件也或許會成為中國網(wǎng)絡(luò)支付的一次標(biāo)志性安全事故。在敲響警鐘的同時，我們更希望這次事件會再次讓中國的網(wǎng)絡(luò)安全界認(rèn)識到：任何以犧牲網(wǎng)絡(luò)安全的代價(jià)的做法，都將會給互聯(lián)網(wǎng)的發(fā)展帶來毀滅性的打擊。

　　正如業(yè)內(nèi)安全專家安全寶聯(lián)合產(chǎn)品副總裁吳翰清對此次事件的評論：“對攜程來說，這次的事件與其說是技術(shù)上的漏洞，不如說是信譽(yù)上的危機(jī)。同時也讓我們看到了安全的重要性：建立用戶信任可能需要若干年，毀掉它卻只需要一天。”對于整個互聯(lián)網(wǎng)來說，又何嘗不是如此？重視網(wǎng)絡(luò)安全，莫讓互聯(lián)網(wǎng)的千里之堤，潰于缺乏網(wǎng)絡(luò)安全防護(hù)的蟻穴。

責(zé)任編輯：張星光

免責(zé)聲明：本文僅代表作者個人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個贊