分类分类
2014-03-24 11:07作者:消息
在被爆出存在安全漏洞,导致大量用户信用卡信息泄露后,“携程信用卡门”以超过152万的讨论量迅速跃升微博24小时热门话题前三名。
尽管携程方面表示,截至目前尚未发现因相关问题导致客户信息泄露及造成损失的情况发生,但对于普遍用户,购买机票、酒店等产品是否依旧选择携程,似乎会稍加迟疑。
用户被激怒
3月22日,漏洞报告平台乌云网公布了一条网络安全漏洞信息,指出由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。
乌云网还称,因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致携程用户所有支付过程中的调试信息可被任意骇客读取。
携程官方在次日凌晨6点发表回应,消息发布后携程立即展开技术排查,并在两小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
同时携程也表示,已与各大银行取得联系,经核实目前并未出现用户信用卡被倒刷的情况。
23日下午2时,携程再度发表回应,称除漏洞发现人做了少量的测试下载外,没有出现恶意下载有关数据的情况,共涉及93名存在潜在风险的携程用户。
携程客服于当日通知存在潜在风险的93名用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。
虽然携程方面承诺,倘若发生安全漏洞并引起用户损失,携程将给与全额赔付,也特别针对这93名存在潜在风险的用户每人500元任我行礼品卡作为补偿,但多数用户依然对携程这一次的信息泄露事件表达出不满。
携程官方微博评论中多位微博网友表示,携程保存了用户信用卡所有支付信息,随时可能还有下一次,因此换卡是最为保险的措施。
更有部分用户直言,事发至今并未收到来自携程方面的电话短信或邮件的任何告知和抱歉说明,携程辜负了用户的信任,以后将绝不再使用携程。
引发业内高度关注
由于漏洞消息爆出时正值周末,纳斯达克正处于休市,所以目前还无法评估这一事件是否会对携程股价造成影响。不过,业内人士对此事则发表了多个观点。
汽车之家创始人李响就表示,“交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。而存储了用户信用卡的CVV,还泄漏了,前一个是企业的基本道德问题,后一个是安全问题。”
“有些信息可以存,有些信息无论如何也不能存,携程存了无论如何也不该存的CVV,这相当于把你信用卡的密码存储并泄漏了。需要输入CVV和存储CVV是两个概念。这时候还帮着携程说话的,就是典型的被卖了还帮着数钱的。”
李响所提到的CVV,也是此次"携程信用卡门"事件中引起多位业内人士高度关注的重点。
中国黑客教父、COG信息安全组织创建人龚蔚发表博文,对携程此次爆出的漏洞进行了分析。
龚蔚解释,携程信用卡门并不是一个单一的信息泄密漏洞,而是由一连串的漏洞关联引发的,从目录历遍到开发记录调试日志信息,再到将敏感信息未做保护直接交由信息系统处理。
“原本这每一个漏洞都只能算是一个鸡肋的低危漏洞,而正是这一连串的漏洞关联足以将该事件推到了风口浪尖。”
龚蔚还表示,目前还并不清楚携程这一漏洞存在了多长时间,不过漏洞并不等于风险,构成信息安全风险有很多要素,其中一个至关重要的就是这些漏洞被利用的可能性。
“根据携程方面的技术披露本次信息泄密设计93名用户姓名、身份证号、信用卡号、CVV,其中信用卡号及CVV为AES强加密,虽然理论上这些经过AES强加密的信用卡号和CVV还是有可能被破解,但是其难度不是一般黑客所能为之的。”
虎嗅认证作者承哲也撰文称,携程私自保存CVV安全码的行为,其本质上就是在用户输入交易密码私下留存的行为,这种行为也是银行明文禁止的。“携程作为这样一个大公司,居然私自保存用户CVV安全码,着实让人不可思议。”
有分析称,这一事件尽管目前没有造成大的损失,但漏洞信息泄露事件或将对携程网的品牌有所影响。
多名业内人士表示,随着经济技术的快速发展,个人信息被泄露和倒卖的现象时有发生,用户应保护好个人信息,遵守网络规则,不窥探他人隐私;另一方面有关部门应完善管理,从制度上堵住漏洞,强化监管,实行追责和问责。
龚蔚在博文中也表达了自己的几个观点:其一,个人隐私越来越受到大家的重视,哪怕这些信息的来源不一定经过证实或技术的评估,大众容易处于一个隐私泄密的恐慌中;
其二,行业信息安全策略得不到充分保障的落实,策略机构不具备专业的技术检测能力;
其三,厂商应该重视任何一个信息安全漏洞,即使是一个极微弱点,但往往一系列的巧合会让这些看似不重要的信息安全漏洞提示到一个高位的漏洞。
相关