這兩日,關(guān)于攜程曝出的信用卡安全支付漏洞事件被鬧得沸沸揚(yáng)揚(yáng)。3月22日,據(jù)專業(yè)漏洞報(bào)告平臺(tái)烏云網(wǎng)公布,攜程安全支付日志可下載,導(dǎo)致用戶銀行卡信息泄露(包含持卡人姓名、身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin)。
事件發(fā)生后,攜程做出了相關(guān)回應(yīng)。攜程表示:“攜程的技術(shù)開發(fā)人員之前是為了排查系統(tǒng)疑問,留下了臨時(shí)日志,因疏忽未及時(shí)刪除,目前,這些信息已被全部刪除。”另據(jù)攜程排查:“除了漏洞發(fā)現(xiàn)人做了少量的測(cè)試下載并已全部刪除外,沒有出現(xiàn)惡意下載有關(guān)數(shù)據(jù)的情況。經(jīng)各銀行反饋,沒有發(fā)生攜程用戶信用卡被盜刷的情況”。攜程表示,未來如果因安全漏洞引起用戶損失,攜程將承擔(dān)全部責(zé)任并給予賠付。
雖然從目前看來,事件的影響似乎未及想象中那般惡劣。但從人們對(duì)該事件的關(guān)注程度及各方評(píng)論來看,這次波及全國的信用卡信息大泄露,無疑為日益增長(zhǎng)的網(wǎng)絡(luò)支付市場(chǎng)帶來了不小的沖擊。
從技術(shù)層面講,此次事件是攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能,將用戶支付的記錄用文本保存了下來。同時(shí)因?yàn)楸4嬷Ц度罩镜姆?wù)器未做校嚴(yán)格的基線安全配置,存在目錄遍歷漏洞,導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取。
然而,在此次事件中,攜程保存客戶信息、特別是對(duì)用戶的CVV代碼的記錄是明顯違反銀聯(lián)規(guī)定。特別是PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))明確規(guī)定不允許存儲(chǔ)CVV,而作為支付頁面通過了PCI認(rèn)證的攜程來說,做出這樣的舉動(dòng)不禁令業(yè)界嘩然。
或許攜程此舉并非故意存儲(chǔ)CVV信息,但其數(shù)據(jù)傳輸為明文、線上長(zhǎng)時(shí)間打開調(diào)試功能、系統(tǒng)日志中亦為明文且未及時(shí)清理的做法,明顯違反了“敏感信息需加密存儲(chǔ)、線上開調(diào)試功能需慎重、系統(tǒng)日志要及時(shí)清理、服務(wù)器安全性要達(dá)標(biāo)”等常識(shí)問題。加之其所存儲(chǔ)的服務(wù)器存在安全漏洞,一系列的因素導(dǎo)致了如今攜程用戶“一夜之間換卡忙”的局面。
在網(wǎng)絡(luò)安全界,永遠(yuǎn)沒有絕對(duì)的安全,安全就是一場(chǎng)攻防戰(zhàn)。那么,是否我們消滅漏洞,就能夠保護(hù)好信息安全?
攜程漏洞的曝出也許不是偶然的事情,但也絕非當(dāng)前互聯(lián)網(wǎng)信息安全中的個(gè)例。攜程泄漏門事件告訴我們:決定網(wǎng)絡(luò)安全的攻防戰(zhàn)勝負(fù)的,絕不僅僅只是技術(shù)的問題,而是包含了技術(shù)、安全意識(shí)、制度、監(jiān)管、信用機(jī)制等一系列因素。
在此次事件中,我們并不主張以最大的惡意去揣測(cè)攜程的一系列不規(guī)范操作,但攜程技術(shù)人員的操作行為已然暴露出當(dāng)前從業(yè)人員的安全意識(shí)相當(dāng)?shù)?此外,攜程作為已通過PCI-DSS認(rèn)證的企業(yè),卻做出記錄CVV碼這樣的違規(guī)行為,我們不禁要問,沒有監(jiān)管到位的認(rèn)證,是否只是一個(gè)擺設(shè)?
另外,攜程“泄露門”事件對(duì)正在發(fā)展中的互聯(lián)網(wǎng)金融無疑是重重一擊,同時(shí)損失的,還有整個(gè)中國互聯(lián)網(wǎng)長(zhǎng)久以來建立起來的公信力。
如今,網(wǎng)絡(luò)支付已是大勢(shì)所趨,互聯(lián)網(wǎng)給我們帶來便捷的同時(shí)必然帶來了安全問題。攜程此次的“泄露門”事件也或許會(huì)成為中國網(wǎng)絡(luò)支付的一次標(biāo)志性安全事故。在敲響警鐘的同時(shí),我們更希望這次事件會(huì)再次讓中國的網(wǎng)絡(luò)安全界認(rèn)識(shí)到:任何以犧牲網(wǎng)絡(luò)安全的代價(jià)的做法,都將會(huì)給互聯(lián)網(wǎng)的發(fā)展帶來毀滅性的打擊。
正如業(yè)內(nèi)安全專家安全寶聯(lián)合產(chǎn)品副總裁吳翰清對(duì)此次事件的評(píng)論:“對(duì)攜程來說,這次的事件與其說是技術(shù)上的漏洞,不如說是信譽(yù)上的危機(jī)。同時(shí)也讓我們看到了安全的重要性:建立用戶信任可能需要若干年,毀掉它卻只需要一天。”對(duì)于整個(gè)互聯(lián)網(wǎng)來說,又何嘗不是如此?重視網(wǎng)絡(luò)安全,莫讓互聯(lián)網(wǎng)的千里之堤,潰于缺乏網(wǎng)絡(luò)安全防護(hù)的蟻穴。
京公網(wǎng)安備 11010502049343號(hào)