News

携程信息泄露 有多少信任可以重来?

携程信息泄露 有多少信任可以重来?



1携程一石激起千层浪

携程信息泄露 有多少信任可以重来?

支付虽易,婚姻不易,且行且谨慎。

携程网的漏洞诗经已经在互联网上炒的沸沸扬扬,自从乌云网的消息一经披露,立刻一石激起千层浪、谩骂声、讨伐声一时百千齐作,携程网成了众矢之的。一时间,全民像陷入了无意识状态般矛头纷纷指向了携程。

细想一下用户们的心情,几乎了解这条新闻的人都曾使用过携程网,一听到携程网信用卡信息泄露这种关键词,神经肯定会变得高度紧张,这都是无可厚非的,谁也不愿意拿自己辛辛苦苦挣来的血汗钱为携程没有做到位的保险措施买单。但是冷静地想一想是不是这次事件的泡沫比事件本身更丰富?

这次事件的源于一位名为猪猪侠的白帽声称找到了"携程安全支付日志可遍历下载导致大量用户银行卡信息泄露(包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。一旦这些信息被不法分子掌握,携程用户的信用卡将被任意盗刷。"不可否认,安全无小事,我们不能否认这对于黑客来说是个"利好"消息,可能也真的有黑客在此之前就已经蠢蠢欲动了。消息经媒体披露后更是令人惶惶不可终日,于是有了凌晨四点拨至银行的咨询电话,有了等候更换信用卡的长龙,这一切都是因为大家已经觉得自己"不安全"了。

继而,就是很多评论文章中所提及的PCI-DSS标准,在PCI-DSS标准 中,明确的定义了如何实施数据保护,以及哪些信息是可以保存,哪些信息是不能保存(尤其是明文保存)的(比如CVV等敏感信息)。因此携程这次是明确的违 反了PCI-DSS的相关规定。至于携程面对为何保留了CVV敏感信息这个问题更是让其百口莫辩。这是它留给媒体的一个把柄,也更让广大用户的心始终惴惴不安。

2携程犯了这么几个错

因为携程在上市的时候肯定是通过了PCI-DSS标准的,由此也可以看出一些安全标准从实施到维持是何等的艰难。而「安全标准」、「合规」的要 求现在已经沦落为一门生意,含金量越来越低。实施PCI-DSS的安全公司可能会给客户提交一大堆文档,但真正认真去落地的公司越来越少了。所以通过了安 全标准并不意味着什么,只是花钱买了个牌照而已。比如PCI-DSS的要求会产生很多衍生的安全需求,而VISA也投了一些安全公司,他们把这里面的大部 分利益给分了。在利益关联之下,对认证的审核必然不会太过严格。

携程信息泄露 有多少信任可以重来?

携程网信用卡信息泄露

这次的事件按照携程官方的解释是出于调试的目的记录了临时日志,共涉及到93名用户,未发现其他数据泄露。我相信这个漏洞的提交者「猪猪侠」并 不会将这部分数据用于恶意用途,因为他在业内的口碑非常好,且如果想这么干,就不会把漏洞提交给乌云了。但携程是否还存在其他问题却不得而知。

对于用户而言,可能会产生恐慌心理而要求银行更换信用卡。但除非你以后不再用网上信用卡支付了,否则类似的问题短期内还是很难避免。我相信还有 很多公司比携程做的更糟糕,更缺乏规范,特别是一些还没有上市,没有通过PCI-DSS认证的公司,只是这些问题没有被暴露在阳光下,因此你不知道而已。

3这些年安全泄密事件层出不穷

携程信息泄露 有多少信任可以重来?

CSDN、天涯、支付宝多家网站密码外泄门

2011年12月,CSDN、多玩、世纪佳缘、走秀等多家网站的用户数据库被曝光在网络上,由于部分密码以明文方式显示,导致大量网民受到隐私泄露的威胁。

12月25日,事件继续升级,乌云漏洞平台再次爆出天涯社区4000万用户资料泄露,用户明文密码泄露。之后,天涯社区在网站上发表致歉信。

12月29日,传言当当网1200万完整用户数据已经泄露,包括用户真实姓名、注册邮箱、收货地址、电话等信息。同时,用户数据最为重要的电商领 域,也不断传出存在漏洞、用户泄露的消息,乌云报告称,支付宝用户大量泄露,被用于网络营销,泄露总量达1500万~2500万之多,泄露时间不明,里面 只有支付用户的账号,没有密码。

携程信息泄露 有多少信任可以重来?

如家、七天2000万条客户开房信息遭泄露

2013年10月,如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。

据《新京报》2013年10月20日报道,10月18日,实名认证的新浪微博账户@股社区发布了一个名为"查开房"的网址。只需输入姓名或身份证号,即可查询到包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。

事发一周前,国内安全漏洞监测平台乌云(WooYun.org)发布报告,称多家酒店开房记录被无线上网认证管理系统供应商--浙江慧达驿站网络有限公司存储,并因系统有漏洞而存在泄露隐患。慧达驿站公司确认曾存在漏洞并已修复,并称未造成开房记录等住客个人信息泄露。

携程信息泄露 有多少信任可以重来?

圆通百万快递单网上出售

2013年11月,圆通速递近百万条快递单个人信息在网络上被公开出售,网上甚至还出现了专门交易快递单号的网站,如"淘单114""淘铺发""淘 单网""单号吧"等。在这些网站,每个单号都被明码标价,"批发价"最低四角,俨然已成为一种"产业"。据记者调查,每天在网上交易的快递单号高达3万个 左右。

犯罪分子在购买快递单信息后,即可从事不法行为。2013年3月份,家住深圳罗湖的虞峰(化名)托朋友给自己快递七部价值总计8400元的联想手 机,但苦等几日,都不见手机寄到。虞峰一查物流信息竟发现,手机已被"自己"领走。最终公安调查发现,原来,犯罪嫌疑人范某购得虞峰的信息后,立即联系制 造了虞峰的身份证件,在确认快件到达快递公司网点,尚未进入派送之时,以假证件骗过快递公司员工后,直接领走虞峰的七部手机,随后将手机变卖。

4“安全”到底是什么?预防与妥协

因为国内的安全意识还处在上个世纪的水平, 直到去年安全行业火了一把后,大家才开始注重网络安全。很多用户在上网的时候,并不会较真一些网站的声明,而采取了默认的信任。 而在国外,只要涉及敏感用户隐私的网站,都需要一个非常复杂的声明,声称绝对不会存储不该存储的信息,也不会向用户询问隐私信息(反诈骗提醒)。

可见,网络安全技术上固然复杂繁琐,但是技术问题不可怕,可怕的是意识问题。 我们在工作中间无论是无心还是有意的,没有把用户隐私放到一个神圣的地位来对待。用户本身也不会发现,你平常去一个网站,你很可能使用的就是你支付宝的密码, 如果这个网站保存下来了,你根本就察觉不到, 如果被泄露了, 在现行法律下,执法机构抓不到黑客的话,也很难追究到网站的责任,这个苦水就只有自己吞了。

携程信息泄露 有多少信任可以重来?

支付虽易,婚姻不易,且行且谨慎。

而在国外, 身份窃取或者是信用卡诈骗都是联邦重罪, 为了预防和打击可能的犯罪,信用卡公司和金融机构每年投入大量的经费,联合治理网络支付安全。其中最著名的是 PCI-DSS compliance 以及信用卡3D验证,其中PCI 是预防信息泄漏, 3D是防止盗取信息者牟利。

什么是PCI-DSS呢? 携程的这个接口属于站内支付,在国际上有一个标准是用来管理支付网站安全的,简称是PCI compliance, PCI就是 Payment Card Industry, DSS就是data storage security--数据安全,PCI这个标准要求非常高,是需要时事更新的。提供PCI验证服务的公司通常会多方面地地毯式扫描,会找出各类漏洞, 还要你在申请的时候严格申明不能保存不该存的信息,以及不可以不使用 SSL 加密数据传输(避免数据嗅探)。我以前自己的网站申请过first data等公司的站内支付服务,PCI将我折磨地不行,而且每3个月都需要更新一次。明天我会写一篇自己小白时期申请PCI的惨痛经历。

再说一下3D验证, 这个在不同国家有不同的做法,多数是通过大数据检验你是否是在常用设备和IP上登录,以及你的行为是否正常(盗取paypal的黑客即便是在被盗用户自己 的机器上都有可能在提现时被锁号) 如果不是的话弹一个小窗,需要输入更加隐私的信息, 可以是银行的密码保护问题,也可能是生日,社会保险号等,目的是验证使用者确实是你。

以上两路大招加起来是否能完全避免信息泄露的损失呢? 当然也做不到100%绝对安全, 但是至少这体现了一种态度和意识。国内大多数公司平常不把安全落实到实处,得过且过,顺其自然。 等到出了问题的时候再修复和危机公关。我相信携程一定有能力做到完全的PCI compliance 并且时时刻刻保持更新, 也有这个实力去把网络安全措施做到国际水准,但是它却没有做到,就跟大多数其他网站一样。那为什么没有机构去监管这样的行为呢? 在一个连地沟油毒奶粉没有FDA这样的严格标准监管的地方,PCI确实不是一个性价比高的东西,还不如花点钱多投点广告来点流量更实际。

声明: 本网转载出于传递更多信息及方便产业探讨之目的,并不意味着本站、中国移动及研究院赞同其观点或证实其内容的真实性,文章内容仅供参考。

声明: 本网转载出于传递信息及方便产业探讨之目的,并不意味着本站赞同其观点或证实其内容的真实性,文章内容仅供参考。