該如何看攜程泄露用戶支付信息事件

這次攜程網泄露用戶支付信息事件正發(fā)生在傳統(tǒng)金融業(yè)與互聯(lián)網金融激烈博弈期間，以用戶安全為由，監(jiān)管部門正要對第三方支付施加諸多限制，在這個關鍵時期爆出這樣的事情，攜程可謂給央行想睡覺就送上了枕頭。

最后，再提醒下各位，當心那些具備互聯(lián)網思維的騙子集團利用這次攜程泄密事件趁虛而入，利用你的不安全感，給你打來這樣的電話：您好，我是XX銀行的，因為這次攜程信息泄露，我們懷疑您的信用卡信息已經被盜，需要更新信用卡信息，請聽到滴聲以后，把您信用卡的帳戶名、密碼以及新的密碼輸入到系統(tǒng)中，我們?yōu)槟僮?.....

by信海光微天下（在這里分享我的見與識......微信搜索加關注）

為什么大新聞總是出在周末？

3月1日昆明火車戰(zhàn)恐怖襲擊案，發(fā)生在星期六的夜里。

3月8日馬航飛機失聯(lián)，發(fā)生在星期六的早晨。

3月23日攜程用戶銀行卡泄密事件，又是發(fā)生在星期六的夜里。

這是要在三月份累死記者的節(jié)奏啊。

區(qū)別是，前兩次都懷疑是與恐怖襲擊有關，而第三次是攜程干的，共同點是：都夠嚇人的！

對了，3月15日也是個星期六，央視打假晚會曝光各企業(yè)后，為了跟蹤報道加班的記者更多。

因為從事的是互聯(lián)網業(yè)，周圍的人對這次攜程用戶銀行卡泄密事件都相當敏感，不怕一萬就怕萬一，第一時間致電發(fā)卡銀行，請求更換信用卡或掛失，可能是接入用戶過多，打招商銀行客服電話還遭遇占線，這是以前從未遇到過的，可見，此事涉及面之廣。

這次披露攜程漏洞問題的是烏云（WooYun）漏洞平臺。烏云漏洞平臺在22日公布的信息顯示，“由于攜程用于處理用戶支付的安全支付服務器接口存在調試功能，將用戶支付的記錄用文本保存了下來。同時因為保存支付日志的服務器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意駭客讀取”。

而且這不是個謠言或者猜測，隨后攜程承認了漏洞的存在。

盡管烏云漏洞平臺在報告時措辭比較專業(yè)，但“可被任意駭客讀取”幾個字消費者還是懂的，這也是恐慌的根源。那么到底該如何評估這次泄密事件的嚴重性呢？基本判斷有四點，第一，這次攜程泄密事件與2012年CSDN泄密事件有所不同，CSDN泄密是歷史數據庫泄露，服務器被入侵，而這次攜程泄密不涉及數據卡被泄的問題，只是正在支付的數據，才有被黑客盜取的可能；第二，但是這次攜程泄密比CSDN泄密事件后果要嚴重，因為CSDN泄露的并非金融數據，只是網站注冊的郵箱、用戶名、密碼等，但攜程泄密的則是用戶的銀行卡信息，比如攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息都可能遭外泄，這也是為什么很多用戶會急著更換信用卡。因為現在網絡信用卡支付流程已經非常簡單，比如在美國亞馬遜網站海淘，注冊用戶輸入信用卡號，CVV碼既能成功消費，連密碼都不用，相關信息一旦被動，很可能會造成嚴重損失，之前也有媒體報道，攜程網會員在多次購買支付酒店或機票價款后，只需提供卡號后四位及CVV2碼，攜程網就會完成下一次支付操作；第三，盡管只是漏洞出現后曾經在攜程網用銀行卡消費過的用戶有可能被泄密，但攜程網這個漏洞到底存在多長時間目前還搞不清楚，攜程稱該漏洞受影響的用戶為“近期的部分交易客戶”，但這個近期到底是多久，幾天，幾個月，還是一年？

事件發(fā)生后攜程在微博上說“向用戶誠懇道歉”，并稱漏洞已修復，承諾愿意為未來因安全漏洞引起的用戶損失承擔賠付責任。但在這份“申明”中，對泄密事件的一些細節(jié)卻含糊其辭，沒有直面的勇氣。

比如，攜程為什么要“將用戶支付的記錄用文本保存了下來”，在一月份曾有媒體質疑攜程網的支付安全性，當時攜程明確回復說“攜程網的后臺不會記錄用戶的支付信息”。是當初在撒謊，還是后來又“變壞”？攜程網為什么要存用戶的CVV？用汽車之家創(chuàng)始人李想的話說：“交易網站存CVV相當于小時工偷偷配了你家的鑰匙，同時，他還知道關于你家所有的信息。而存儲了用戶信用卡的CVV，還泄漏了，前一個是企業(yè)的基本道德問題，后一個是安全問題?！薄坝行┬畔⒖梢源妫行┬畔o論如何也不能存，攜程存了無論如何也不該存的CVV，這相當于把你信用卡的密碼存儲并泄漏了。需要輸入CVV和存儲CVV是兩個概念。這時候還幫著攜程說話的，就是典型的被賣了還幫著數錢的?！?/p>

再比如，即便保存了用戶信息，為什么要用明文存儲？2012年CSDN泄密事件，引起廣泛反思的，就是網站不應該用明文存儲用戶密碼信息，北京有關部門甚至還因此向CSDN網運營公司提出了具體整改要求，并做出行政警告處罰。教訓如此嚴重，沒過多久，攜程再犯這種錯誤，實在不該。

關于網站在用戶支付過程中該如何保護用戶信息，國內外相關標準不止一個，國際上比較權威的是PCI-DSS（第三方支付行業(yè)數據安全標準），加入此標準認證的企業(yè)都要接受嚴苛的年度安全評估，并且每個季度都在接受PCI認證要求的ASV弱點掃描。但國內主動進行這項認證的網站只是少數(好像只有去哪兒一家)，去年底，還有媒體報道未能在攜程上找到PCI-DSS認證標識。

攜程是行業(yè)巨頭，又是上市公司，居然也在安全問題上犯這樣的低級錯誤，只能說沒有把用戶的利益放在第一位，同時也反映出當前中國互聯(lián)網界整體安全意識淡薄的現狀。存儲用戶支付信息、明文保存用戶密碼......網站進行這些不規(guī)范操作的時候未必心存惡念，它們很多只是為了提供更簡潔的流程，以表面上更好的體驗留住用戶（“攜程在手，說走就走”），以便在競爭中取得領先地位，但實質上，卻是以用戶網絡安全上的付出為代價。

這次攜程網泄露用戶支付信息事件正發(fā)生在傳統(tǒng)金融業(yè)與互聯(lián)網金融激烈博弈期間，以用戶安全為由，監(jiān)管部門正要對第三方支付施加諸多限制，在這個關鍵時期爆出這樣的事情，攜程可謂給央行想睡覺就送上了枕頭。

最后，提醒下各位，當心那些具備互聯(lián)網思維的騙子集團利用這次攜程泄密事件趁虛而入，利用你的不安全感，給你打來這樣的電話：您好，我是XX銀行的，因為這次攜程信息泄露，我們懷疑您的信用卡信息已經被盜，需要更新信用卡信息，請聽到滴聲以后，把您信用卡的帳戶名、密碼以及新的密碼輸入到系統(tǒng)中，我們?yōu)槟僮?.....

【信海光微天下】是著名的泛科技人文類自媒體，除了這里，在微博上還擁有累計400萬粉絲（新浪微博35萬活躍粉絲），是新浪最有影響力科技博客之一，門戶網站累計3000萬訪問量，在搜狐新聞客戶端擁有35萬訂戶，并是虎嗅、FT中文網、艾瑞、財新、百度百家等多個專業(yè)網站知名專欄作者，《新京報》、《21世紀經濟報道》等傳統(tǒng)媒體長期撰稿人（涵社論），并曾有多篇文章被美國時代周刊網等境外媒體轉載引用?！拘藕９馕⑻煜隆渴荳eMedia聯(lián)盟重要成員。

生成海報

免責聲明：此文內容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權歸作者所有，且僅代表作者個人觀點，與極客網無關。文章僅供讀者參考，并請自行核實相關內容。投訴郵箱：editor@fromgeek.com。

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。