上周爆發(fā)的安全事件,經(jīng)過了一周的時間,似乎已經(jīng)不再是熱點新聞;但是安全事件就像恐怖襲擊,引爆了人們對于信息安全問題的擔憂和顧慮。
首先,烏云發(fā)布報告稱:攜程安全支付服務器接口以及服務器安全配置漏洞,存在信息泄露風險,包括持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息。
從純技術的視角說,這個安全事件并不是很嚴重,攜程發(fā)布聲明說,漏洞修補工作已經(jīng)在22號晚上完成,只是3月21號和22號這兩天的用戶有信息泄露的風險。
但是作為客戶,我們?nèi)砸穯枺簽槭裁磾y程會保存CVV信息?
2008年發(fā)布的《銀聯(lián)卡收單機構賬戶信息安全管理標準》中,明確提出了關于信用卡個人信息儲存的要求:“收單機構系統(tǒng)只能存儲用于交易清分、差錯處理所必須的最基本的賬戶信息,不能存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期”。
CVV絕對是客戶的敏感信息,是不能在支付過程中被攜程的系統(tǒng)中留存的;而烏云的報告中顯示可能泄露的信息中有CVV,這就說明:攜程在運營中存在違規(guī)行為。
客戶數(shù)據(jù)和信息可以為商家?guī)韮r值,那為什么行業(yè)規(guī)范不允許在系統(tǒng)里保存?就是因為這些敏感可能成為風險,一旦商家的安全防護手段被攻破,用戶的隱私被泄露,后果不堪設想。
那么我們就有理由懷疑:曾經(jīng)注冊過的電商網(wǎng)站,曾經(jīng)用信用卡支付的交易中,是不是還有很多客戶敏感、關鍵信息被存了下來?這些都合規(guī)么,還安全么?
另一起安全事件,是源自《紐約時報》的報道,聲稱斯諾登提供的2010年文件顯示:美國安局曾實施了“攻擊巨人”(Shot Giant)的計劃,其內(nèi)容包括侵入華為的巨型服務器和精密的數(shù)字交換器,一方面是監(jiān)控華為管理層的通信,了解華為是否與中國政府存在聯(lián)系;另一方面則是為尋找華為設備中的漏洞,嘗試入侵采用華為設備的網(wǎng)絡。
這個事件的性質(zhì)就更惡劣了!涉及國家信息安全問題,不便多說。相信所有人都明白:我們并不希望把誰視為假想敵;但事實上,別人已經(jīng)在入侵了。
而在本周,巴西下議院通過了一條新的法律草案《網(wǎng)絡民法》,旨在反對網(wǎng)絡間諜,以及保障平等接入互聯(lián)網(wǎng),保護巴西網(wǎng)民的言論自由,以及設置網(wǎng)絡信息的復制權和使用權。其中不僅規(guī)定應遵守巴西法律防止信息被竊取,還有防止通訊公司利用用戶的通訊內(nèi)容獲得利益等內(nèi)容。
曾經(jīng)聽到不少對安全管理的抱怨。誠然,安全導致的操作復雜、認證延遲等,在一定程度上給用戶和使用者帶來了“麻煩”。很多企業(yè)的創(chuàng)新,就是想辦法平衡安全和便利的矛盾,把麻煩留給自己,給客戶帶來方便。
客觀來說,很多互聯(lián)網(wǎng)企業(yè)在安全方面做得不錯,這些創(chuàng)新推動了支付環(huán)節(jié)的開放與進步,更推動了電子商務等一系列產(chǎn)業(yè)的發(fā)展。
911之后,美國人看到穆斯林就躲;最近的恐怖襲擊,國內(nèi)也有人看到新疆同胞產(chǎn)生了心里陰影。這次安全事件,會在多大程度上影響業(yè)務的普及甚至產(chǎn)業(yè)的發(fā)展?用戶在使用電子商務進行支付的時候,在告知對方CVV的時候,會不會有一絲猶豫?
目前互聯(lián)網(wǎng)金融對傳統(tǒng)體系的沖擊正處于關鍵時刻,安全事件的爆發(fā),可能是推進互聯(lián)網(wǎng)環(huán)境下的安全監(jiān)管,加大對安全的關注度和投入;也可能以此為案例,以安全的名義放慢發(fā)展的腳步。
911之后,很多企業(yè)意識到了信息安全的重要意義和價值,紛紛加大了這方面的投入,信息安全和數(shù)據(jù)備份的企業(yè)大發(fā)其財。這一輪次的信息安全恐怖襲擊之后,誰又會成為贏家?
這些,拭目以待,好戲剛剛開始。
京公網(wǎng)安備 11010502049343號