本期话题:携程泄漏事件
3月22日,乌云漏洞平台发布消息称,携程系统存在技术漏洞,可导致用户个人信息泄露,包括用户姓名、身份证号、银行卡号、银行卡CVV码都存在被黑客窃取的可能。
针对这一消息,携程3月23日发布声明称,客户信息泄露是由于技术调试过程中出现的短时漏洞,现已修复,并承诺未来倘若发生因该安全漏洞引起的用户损失,将给予全额赔付。目前确认共93人账户存安全风险,并已通知相关用户更换信用卡。
中国电子商务研究中心认为,携程发生信息泄露的原因在于违反银联规定本地保存银行卡信息和服务器安全配置不严格。一时间对于携程保持银行卡信息的做法的质疑以及对于互联网金融安全性的探讨,充斥着网络各论坛、微博微信已经传统媒体。
这件事到底给我们什么启示和借鉴呢?
王煜:携程漏洞被披露后,网上自是一片哗然。正巧最近采访了国内信息安全界的某顶尖团队,他们对此事的评价是,就事论事而言,此次漏洞的影响范围以及泄露的大部分信息是加密过的,从技术层面而言并不算特别严重,可以说更多问题在于携程内部对客户信息管理机制的不当。作为信息安全人士,他们赞同依靠热点事件唤起公众的安全意识,但同时认为需保持客观严谨科学的态度。可以想见的是,此言一出,该团队被斥为“枪手”,被网友喷得实在无语。
以我的判断,他们完全没有刻意为携程背书的必要。我认同他们所说,其实携程的问题更多是出在管理上,也就是违反银联规定本地保存银行卡信息;以及开发人员可能绕过了质量控制和风险控制部门,随意进入了生产环境操作。
在这样一个“技术主义”盛行的时代,对人本身的关注往往被放到了次要地位。但是,信息安全业内人士都明白的是,除了众所周知的技术手段外,还有一种叫做“社会工程学攻击”或者“社交攻击”的窃取信息模式。举个简单的例子,攻击者知道某企业信息安全部门负责人喜欢和熟人放肆喝酒,就买通了此人的铁杆哥们儿,把负责人灌醉,套出访问该企业关键商业秘密信息的密码。这就是典型的利用人的弱点进行的“社交攻击”。这种攻法,威力一点不比技术手段弱,而且往往防不胜防。
以技术手段做安全防护,就像是为战士努力铸造坚固的盔甲,但是;盔甲再牢靠,战士不好好穿,也怨不得被敌人戳中要害一命呜呼。是该好好想想如何管理盔甲后的人了。
应琛:一开始听说携程泄密门时,还以为就像之前的如家、锦江之星那样,是人为或者工作失误等原因导致客户的资料外泄。待我仔细读了新闻之后了解到,原来是因为携程的系统有漏洞,很容易被黑客攻破,从而使得信息外泄。而且,原来携程不但会保存客户的信用卡卡号,连背后的三位cvv码都会一并保存,这就太可怕了。要知道在境外,很多网站是不需要额外的密码,只需要获得这两样信息就能轻易地将你卡里的钱划走。显然,他们的做法不符合行规。
好在事后,携程的处理方式还算及时,也承诺因为这样的原因造成的损失会全额赔付,还表示今后客户的cvv码会即用即删。我想说的是,在互联网高速发展的今天,网络支付确实方便了人们的生活。但正因为他的便捷性,作为商家更应该谨慎,完善自己的系统,规范自己的行为,来确保客户的利益不受侵害。
钱亦蕉:携程漏洞事件被曝光时,我回想起之前使用携程订酒店和度假产品时的疑惑,就是在支付时,只要你使用了留存在个人帐号里面绑定的信用卡,那就什么都不用填写,就直接授权扣款了。当时我还想,怎么不让我填个ccv码或者是取款密码什么的呢?现在想来,是因为携程保留了包括ccv码在内的所有银行卡信息,为了获取网络支付的“便捷性”——这应该会增加他们预订的成功率(我自己就有过网上购物信用卡不在身边无法填写而放弃订单的例子)。
对于互联网金融来说,便捷和安全是博弈的两方,如何平衡是值得网络公司深思的问题。其实,包括支付宝、财付通在内的网上支付平台,都会推广绑定银行卡的快捷支付功能,所谓快捷就是只有一个支付密码(这个支付密码并不是银行卡的取款密码)就能直接付款,其他都免了,应该说在后台他们也是保留了用户银行卡的所有信息的。这应该不算新闻,携程也不是孤例。
我想说的是,作为网络支付平台,应该尽量加强服务器安全,以免被黑客攻破,泄漏信息。而作为普通用户,既然你选择了快捷支付,你要有这个意识,快捷肯定是要损害一些安全性的,那么绑定快捷的银行卡尽量不要有过多的金额,或者设定支付限额。
※版权作品,未经新民周刊授权,严禁转载,违者将被追究法律责任。