999zyz玖玖资源站免费中文|无码视频一区二区三区|2020国产精品久久久久精品|国产真实夫妇视频普通话对白|

 新聞?lì)l道 > 深度 > 正文

攜程“漏洞門”:“大數(shù)據(jù)”呼喚“大安全”

2014-03-26 08:35 來源:半月談網(wǎng)綜合

  互聯(lián)網(wǎng)將人們帶入了大數(shù)據(jù)時(shí)代,大數(shù)據(jù)被稱為未來的信息“金礦”。這些數(shù)據(jù)的價(jià)值越來越被重視,無數(shù)雙眼睛正窺視著這筆無形的資產(chǎn)。

  “攜程在手,說走就走?!笨此戚p松的廣告語背后,卻隱藏著信用卡泄密的風(fēng)險(xiǎn)。3月22日晚,全國知名票務(wù)服務(wù)公司、在美國納斯達(dá)克上市的攜程旅行網(wǎng)遇上了一片“烏云”。據(jù)國內(nèi)漏洞報(bào)告平臺(tái)烏云披露:攜程旅行網(wǎng)支付日志存在漏洞,用戶銀行卡信息可被黑客任意讀取。

  中國互聯(lián)網(wǎng)信息中心調(diào)查報(bào)告顯示,2013年我國網(wǎng)購用戶規(guī)模已達(dá)到3.02億人,參與網(wǎng)購的用戶數(shù)還在呈現(xiàn)爆炸性增長。每天我們都要和形形色色的網(wǎng)站打交道,攜程事件再次撥動(dòng)公眾敏感神經(jīng):

  你曾經(jīng)在多少家網(wǎng)站上留下過多少信息?這些網(wǎng)站會(huì)不會(huì)濫用抑或不慎泄露這些信息?這次攜程也許只是不慎開啟了信息可能被泄露的“潘多拉之盒”,可是,如果有些網(wǎng)站故意為之甚至盜用這些信息,豈不是輕而易舉?這些信息被泄露后,將給我們帶來怎樣的損失?……一系列問題在等待答案。

  攜程泄密:安全隱患可能并未根本解除

  22日,烏云漏洞平臺(tái)發(fā)布消息稱,攜程旅行網(wǎng)支付日志存在漏洞,或?qū)е麓罅坑脩翥y行卡信息泄露。攜程隨后確認(rèn)存在這一漏洞,并發(fā)聲明表示,有93名用戶存在安全風(fēng)險(xiǎn)。雖然攜程表示漏洞已經(jīng)修復(fù),但這一安全事件仍引發(fā)諸多質(zhì)疑。有專家表示,攜程保存客戶銀行卡信息的做法違反銀聯(lián)的規(guī)定。

  攜程存儲(chǔ)用戶銀行卡信息 被指違反銀聯(lián)規(guī)定

  據(jù)了解,此次攜程漏洞可使包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin泄露。據(jù)了解,CVV即 Card Verification Value,是由卡號、有效期和服務(wù)約束代碼生成3位或4位數(shù)字,一般寫在卡片磁條2磁道用戶自定義數(shù)據(jù)區(qū)里面。無需密碼支付的方式也叫信用卡“離線交易”,僅憑卡號、CVV碼等信息即可完成支付。專家提醒,CVV安全碼相當(dāng)于信用卡“第二密碼”,需妥善保管。

  針對攜程此次漏洞,新浪微博認(rèn)證為“MediaV CTO,原Google技術(shù)總監(jiān)”胡寧稱,用戶信用卡信息泄露,并非犯低級技術(shù)錯(cuò)誤這么簡單,“敏感信息需加密存儲(chǔ)、線上開調(diào)試功能需慎重、系統(tǒng)日志要及時(shí)清理、服務(wù)器安全性要達(dá)標(biāo),這都是常識”。

  金山毒霸安全專家李鐵軍接受中新網(wǎng)IT頻道采訪時(shí)稱,從目前攜程和烏云公布的資料來看,攜程用戶隱私的泄露過程還并不能完全肯定,但是結(jié)果造成的用戶安全風(fēng)險(xiǎn)是非常大的?!俺吮槐I刷的可能,了解用戶這些信息后還可以創(chuàng)建第三方支付賬號,綁定信用卡實(shí)現(xiàn)境外購物?!睋?jù)了解,信用卡有一種支付功能為離線支付,這種支付方式只要知道了用戶的基本信息和CVV代碼后就可以實(shí)現(xiàn)支付。

  據(jù)多家媒體報(bào)道,此次漏洞在于攜程記錄了用戶的CVV代碼。上海鼎力律師事務(wù)所孫建中律師表示,攜程保存客戶信息的做法違反銀聯(lián)的規(guī)定,從《消費(fèi)者權(quán)益保護(hù)法》看,其技術(shù)手段未盡到保護(hù)消費(fèi)者的義務(wù)。財(cái)新傳媒總編輯胡舒立也指出,攜程不是第三方支付機(jī)構(gòu),無權(quán)保留銀行卡信息。

  另一方面,PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))規(guī)定了不允許存儲(chǔ)CVV,但攜程支付頁面稱通過了PCI認(rèn)證,同樣令人費(fèi)解。

  安全專家:被記錄過CVV代碼的用戶都必須換卡

  攜程在聲明中表示,“截至23日22時(shí),沒有接到攜程換卡通知的客戶,個(gè)人信息均是安全的,無需擔(dān)心?!睌y程表示,目前有93人賬戶存在安全風(fēng)險(xiǎn),并承諾未來如果因安全漏洞引起用戶損失,攜程將承擔(dān)全部責(zé)任并給與賠償。

  但是這份聲明或并沒有打消用戶的擔(dān)心,不少攜程用戶在微博表示“必須換卡”。 據(jù)了解,作為國內(nèi)在線旅游市場份額最大服務(wù)商,攜程日均酒店預(yù)訂、票務(wù)預(yù)訂等業(yè)務(wù)量以十萬計(jì)。不少網(wǎng)友表示,這樣大規(guī)模的一家企業(yè),即便是如攜程所表示僅21日、22日的部分交易客戶存風(fēng)險(xiǎn),難道僅僅是93位嗎?

  另一方面,怎么界定信用卡被盜刷同攜程漏洞有關(guān)也是一個(gè)問題。網(wǎng)友@舞劇3D稱,攜程所謂賠付的承諾根本不可信,因?yàn)槟愀緹o法舉證信息泄露與攜程有關(guān)。還有網(wǎng)友指出,即便現(xiàn)在信用卡沒有被盜刷,黑客還是可能把泄露的信息保存起來靜默一段時(shí)間再動(dòng)手,而到時(shí)被盜刷的原因也很難判斷?!叭绻庞每ū挥么朔N方式盜刷,維權(quán)也很困難,因?yàn)殂y行會(huì)認(rèn)為是本人持卡在執(zhí)行這些操作。”李鐵軍表示。

  有業(yè)內(nèi)人士指出,從目前來看,最為保險(xiǎn)的做法是“換卡”。但是哪些用戶有換卡的必要呢?是否攜程所有用戶都必須換卡?“從目前攜程和烏云披露的信息中并不能確定是否所有攜程用戶信息都被泄露,但是只要被記錄過CVV的用戶就必須更換信用卡?!崩铊F軍表示。

  攜程安全隱患可能并未根本解除

  經(jīng)銀行反饋,目前并沒有發(fā)生攜程用戶寫用卡被盜刷的情況。但事情似乎并不這么簡單。

  據(jù)多家媒體報(bào)道,此前已有攜程用戶對于攜程支付安全提出質(zhì)疑,攜程回應(yīng)稱攜程采用的信用卡支付方式符合國際慣例,且公司內(nèi)部有足夠的風(fēng)險(xiǎn)把控能力。微博實(shí)名認(rèn)證為廣西易搜科技有限公司CEO的嚴(yán)茂軍在微博上表示,“早在2月25日就致電過攜程我綁定攜程的幾張信用卡被盜刷十幾筆外幣的事件,當(dāng)時(shí)他們回復(fù)系統(tǒng)安全正常。”

  羊城晚報(bào)援引安全人士表示,“但從目前情況看,攜程的支付系統(tǒng)的確存在很多不確定性,風(fēng)險(xiǎn)程度很高。除了黑客盜取信息,公司內(nèi)部對用戶信息管理情況也令人擔(dān)憂?!?/p>

  雖然不少攜程的用戶在看到消息之后,已經(jīng)連夜向銀行申請取消信用卡。但在奇虎360首席隱私官譚曉生看來,從已知信息來說,仍不能準(zhǔn)確斷定是否已經(jīng)有大規(guī)模泄露發(fā)生,真正的情況只有當(dāng)事企業(yè)自己清楚。(吳濤)

  

責(zé)編:劉睿
0
我要評論
用戶名 注冊新用戶
密碼 忘記密碼?