攜程被曝支付日志存在漏洞,用戶銀行卡信息可被黑客任意讀取。這件事情引起的震動頗大,周圍很多人第一時間致電發卡銀行,請求更換信用卡或掛失,因接入用戶過多,一些銀行客服電話還遭遇占線,這是以前從未遇到過的。
儘管爆出消息的烏雲漏洞平台在報告時措辭比較專業,但“可被任意駭客讀取”幾個字消費者還是懂的,這也是恐慌的根源。
事件發生後,攜程在微博上說“向用戶誠懇道歉”,並稱漏洞已修復,承諾願意為未來因安全漏洞引起的用戶損失承擔賠付責任。但在這份“申明”中,對洩密事件的一些細節卻含糊其辭,沒有直面的勇氣。
比如,攜程為什麼要“將用戶支付的記錄用文本保存了下來”?在一月份曾有媒體質疑攜程網的支付安全性,當時攜程明確回復說“攜程網的後台不會記錄用戶的支付信息”。是當初在撒謊,還是後來又“變壞”?網站不應保存CVV現在基本上是業內同行的規則。
再比如,即便保存了用戶信息,為什麼要用明文存儲?2012年CSDN洩密事件,引起廣泛反思的,就是網站不應該用明文存儲用戶密碼信息。教訓如此嚴重,攜程再犯這種錯誤,實在不該。
關於網站在用戶支付過程中該如何保護用戶信息,國內外相關標準不止一個,國際上比較權威的是PCI-DSS(第三方支付行業數據安全標準),加入此標準認證的企業都要接受嚴苛的年度安全評估,並且每個季度都在接受PCI認證要求的ASV弱點掃描。但國內主動進行這項認證的網站只是少數,去年底,還有媒體報道未能在攜程上找到PCI-DSS認證標識。
攜程是行業巨頭,又是上市公司,居然也在安全問題上犯這樣的低級錯誤,只能說沒有把用戶的利益放在第一位,同時也反映出當前中國互聯網界整體安全意識淡薄的現狀。存儲用戶支付信息、明文保存用戶密碼……網站進行這些不規範操作的時候未必心存惡念,它們很多只是為了提供更簡潔的流程,以表面上更好的體驗留住用戶,以便在競爭中取得領先地位,但實質上,卻是以犧牲用戶網絡安全為代價。(時間:3月24日 來源:新京報) |
