携程在手，密码快走_财经频道

VOL 48

2014年3月24日

“携程在手，说走就走，走得最快的是密码”。
　　继“酒店开房信息遭泄露”、“浏览器泄露用户隐私”等事件之后，携程近日又被爆泄露银行卡信息，威胁用户银行账户安全。对此携程表示是在技术调试过程中出现短时漏洞，但在业内看来，这并非是低级技术错误这么简单：存储支付信息、明文保存密码、长时间调试……这些不规范操作表面上是为了更简洁的流程，实质上却牺牲了广大用户的网络安全。

“乌云”笼罩

3月22日晚间，乌云漏洞平台披露，由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来，该安全支付日志可遍历下载，导致大量用户银行卡信息泄露，其中包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。基本上相当于，用户的银行卡可以被获得资料的黑客随意盗刷。
　　对此携程方面承认，在技术调试过程中确实出现了短时漏洞，该漏洞受影响的用户为近期的部分交易客户。携程在23日发表的致歉声明中承诺：未来倘若发生安全漏洞并引起用户损失，将给予全额赔付。尽管如此，在网友看来携程网的可信任程度已经大大下降。[点击详细]

乌云方面透露称，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在有漏洞的本地服务器上，导致所有支付过程中的调试信息可被任意骇客读取。
　　原Google技术总监胡宁认为，根据事故报告,携程可能并未故意存储CVV信息，但其数据传输为明文，且线上竟长时间打开调试功能，导致系统日志中亦为明文，又未及时清理，所存储的服务器还有安全漏洞，正所谓：一步错，步步错。[点击详细]

这些信息该保存么？

交易网站存CVV码，相当于小时工偷偷配了你家的钥匙。网络安全专家李铁军分析认为，这次的事件并没有根本上解决风险的可能，因为从目前来看携程违反了银联此前禁止记录CVV的规定。结合此前携程支付方面受到的安全质疑，携程在之前或还存在记录用户CVV的嫌疑。从目前情况看，携程的支付系统的确存在很多不确定性，风险程度很高。
　　有媒体报道说，携程在近期刚与万事达卡国际组织签署合作备忘录，欲拓展其在支付领域的范围，以推动其在电子支付市场的占有率。然而，此次技术漏洞的出现，可能给上述合作带来什么样的结果，还需人们驻足观察。[点击详细]

信息安全“命门”洞开

受拷问的OTA支付

尽管其他网站并未暴露与携程网一样的风险，但大数据时代的网络信息安全还是受到拷问。此前，包括当当网、亚马逊、京东商城、7天酒店在内的多家网站也曾爆出用户个人信息遭泄露的报告，但是个人信息与信用卡信息相比，携程网的纰漏显然更为严重。
　　安全专家举例说明，黑客可以通过用户的手机号码、银行卡号和CVV注册第三方支付账号，从而跳过用户和银行绑定的手机，进行盗刷，“这些数据可以用来创建或关联第三方支付，国内第三方支付公司多达几百家，可以利用的点很多。受害者可能随时出现资金被盗。”[点击详细]

信息泄露早已司空见惯

为何我们的信息防线如此脆弱？一位不愿署名的安全专家表示，由于许多企业在系统技术和企业管理中都存在安全隐患，实际上，敏感信息泄露早已司空见惯，只是许多并未爆出来而已。而随着移动互联网的到来，移动端安全问题更为突出。有位业内人士透露，此次携程“泄露门”或是无线研发推进过快变相导致的。[点击详细]

尽管此次事件广受批评，但据公开信息显示，到事发为止所有的调查和损失认定工作均由携程网一方进行，并未引入第三方监管机构。
　　业内专家指出，移动互联网应用的迅猛发展将助推在线旅游服务“蛋糕”越做越大，但市场盘子做大了，其中的问题便会浮出水面。此次携程泄漏用户信息反映出在线支付行业不仅要加强行业自律、更需要监管部门强力介入，亟待通过出台明文法规、进行合规性、合法性检查的方式将在线支付纳入到行业监管的大局之下。[点击详细]

漏洞需一个法律补丁

VOL 48

不涉其中，也别庆幸