• 新希望!中超19岁新星半年增重十斤 曾戏耍恒大两国脚 2018-10-17
  • 迎丰收 晒丰收 庆丰收 2018-10-15
  • “捂脸表情”被注册成商标?申请人不认为商标侵权 2018-10-15
  • 战巡南海、绕岛巡航…空军有“飞出去”的主心骨 2018-10-14
  • 幼儿园要求家长写一万字读后感:不能这样玩家长|幼儿园|家长-教育时讯 2018-10-13
  • 中国故宫文物展在希腊举行 2018-10-13
  • 車·晓 第26期 車企官方降价真相幾何? 2018-10-12
  • 宝沃总裁杨嵩:曾和奔驰宝马同水平 已不能同日而语 2018-10-11
  • 新时代党员干部要有更大的担当和作为 2018-10-10
  • “2018-雷霆”专项行动破获百余起台湾间谍案 2018-10-09
  • 朝韩首脑今起在平壤会晤 “金文会”将聚焦三大议题 2018-10-09
  • 2018顺义啤酒节--北京频道--人民网 2018-10-08
  • 台湾遭遇的“断交潮”有无化解之道? 2018-10-08
  • 习近平会见爱沙尼亚总统卡柳莱德 2018-10-08
  • 中国空间站研制建设正有序开展 坚持和平利用 2018-10-07
  • 携程信用卡信息泄露这事儿

    栏目: 杂谈 发布于: 2014-04-17 12:54:03

    携程信用卡信息泄露这事儿

    今天的文章其实不应该写,因为携程信用卡泄露这事情已经有很多人写了,「小道消息」的默认策略是不写热点内容,所以这一篇算是破例吧,我将尽可能的说一点不一样的内容。

    我不是专门搞安全的,只是因为跟不少安全行业的朋友比较熟,所以,昨天几乎是第一时间就看到携程在乌云上的漏洞信息了。之后顺手在微信朋友圈转了一条,然后过了一会儿发现这个事情发酵了。

    接着看到有不少朋友们在讨论要不要换卡,有几位对信息敏感的朋友已经第一时间联系了银行申请了换卡。

    再然后,已经看到有人在朋友圈发布所谓的「携程信用卡信息被盗」的内容,多少令人哭笑不得。

    诸多信息里,我的一位朋友发的信息,我个人认为可信度比较高,就发了一条微博:


    携程的安全漏洞的小道消息「据说啊,是无线开了调试,存了日志,然后Web.config 开了目录遍历,才出的状况,主要是手机 App 这块出问题了。内部人员说用 Web 版本的没问题?!?用 Web 版本没问题? 是不是这样,自己拿主意吧。


    如果这个信息是真的话,那么,开了调试功能开了多久? 日志有多大? 如果调试功能开得很短,那么不太可能那么巧被白帽子黑客发现。所以,我个人认为时间恐怕够长的了,问题是周六发生的,携程这样的公司不会有人周六加班调试吧,最最起码一天以上吧,一天的时间会有多少业务量? 真的只有那么几笔?

    我不知道。

    我之所以说「自己拿主意」,其实还是怕误导别人,万一我说没必要换卡,别人信用卡被盗刷了怎么办?

    今天携程的一位朋友微博上给我私信,让我看一下携程的公告并且给转发一下。公告里说「经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及 93 名存在潜在风险的携程用户?!刮椅薹ㄅ卸险飧鲂畔⒌目尚哦?,所以也不想转发,因为这个公告很明显还有其他问题。

    看起来,携程是没通过 PCI DSS 认证(至少我找不到携程通过认证的信息)。PCI DSS 这个缩写的全称是: Payment Card Industry Data Security Standard,这是一个全球通用的支付卡行业数据安全标准,国内的几个旅游服务网站,我只看到一家是通过了这个认证的。好了,科普就到这里,如果好奇的话,请自行搜索即可。携程公告里说「携程用户支付卡信息…均按照国际信用卡支付安全标准要求」,其实是没什么说服力的,至少你这次是出了问题的啊,这怎么说?

    有些企业对客户信用卡信息的处理,大概是有其历史问题,比如通过电话客服的时候,我不止一次遇到过有某家银行客服要我提供全部的信用卡卡号,和 CVV。你索取我信用卡卡号就行了,要我的 CVV (信用卡安全码,Card Security Code) 做什么? 我怎么知道你会不会把我的信用卡信息泄露出去? 一般遇到这样的情况,我就拒绝提供。放心,客服业务流程一样能走通。别问我哪家银行了,就是号称服务好,但其实经常给用户发垃圾信息的那一家。此外,以前我还遇到在一些饭店吃饭,刷卡的时候,收银员把我的信用卡卡号码刮在小票上去,说是和银行活动验证用。其实银行的活动只需要验证后几位数字就可以,你保留全部信息做什么? 作为个人用户,对自己银行卡的信息最多也只能敏感到这样了。又不能不用信用卡。

    一般来说,如果商家没有能力去?;び没庞每ㄐ畔?,最好的办法就是尽可能的不要存储它们。如果你看过《掘金黑客》那本书,里面的一个细节就是,黑客们专门去入侵一些安全意识薄弱的线下商家的收银系统,把信用卡信息拿走。

    携程这次的应对,总体上还是过得去的。比预期的要好,毕竟这是一家不那么互联网化的公司。如果要提不足之处,我想说其实携程没必要自己去弄一个安全应急响应中心,弄了也没有谁敢去你那里提交漏洞,万一被你抓了咋办? 最好的办法就是去乌云网站跟白帽子黑客们有效互动,比如创建正式的官方帐号,然后最起码要技术总监级别以上最好是 CTO (如果有的话) 去订阅最新安全信息,这样才可能有效地应对突发情况。对了,好好感谢一下发现漏洞的白帽子黑客。 我觉得这次事件对携程来说,这已经是最好的结果了。

    另外一件比较重要的事儿,尽早通过 PCI DSS 认证吧。

    声明:我手里目前不持有携程股票。


    乌云(WooYun.org)是国内最大的第三方漏洞报告平台,这是个很重要的网站。如果你是互联网公司的技术负责人,最好早点去关注乌云的信息。对安全不重视,到头来吃亏的还是自己,我只能说到这里了。


    题图:Illustration Works/Corbis


    本文转载自:微信公众账号 - 小道消息 by Fenng,版权归原作者所有!

    本站文章除注明转载外,均为本站原创或编译?;队魏涡问降淖?,但请务必注明出处。
    转载请注明:文章转载自 七星彩票平台
    本文标题:携程信用卡信息泄露这事儿
    IT技术书籍推荐:
    GitHub入门与实践
    GitHub入门与实践
    大塚弘记 (作者), 支鹏浩 (译者), 刘斌 (译者)
    《GitHub入门与实践》从Git的基本知识和操作方法入手,详细介绍了GitHub的各种功能,GitHub与其他工具或服务的协作,使用GitHub的开发流程以及如何将GitHub引入到企业中。在讲解GitHub的代表功能Pull Request时,本书专门搭建了供各位读者实践的仓库,邀请各位读者进行Pull Request并共同维护。 《GitHub入门与实践》旨在指导各位读者如何在开发现场使用GitHub进行高效开发,适合所有想要使用GitHub进行开发的程序员或团队阅读。