攜程網(wǎng)驚爆信用卡門事件，互聯(lián)網(wǎng)安全問(wèn)題引發(fā)關(guān)注

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

攜程網(wǎng)在3月22日爆出的信用卡門事件，似乎在和上個(gè)周剛開(kāi)完的315事件相互呼應(yīng)?；ヂ?lián)網(wǎng)安全問(wèn)題再一次引起大家的重視。話說(shuō)回來(lái)，互聯(lián)網(wǎng)的安全問(wèn)題已經(jīng)存在不是一天兩天了，但是近幾年由于越來(lái)越多支付、購(gòu)買等金錢相關(guān)行為在PC互聯(lián)網(wǎng)或者移動(dòng)互聯(lián)網(wǎng)上操作，安全問(wèn)題又進(jìn)入了大眾的關(guān)注焦點(diǎn)了。

事件回放：烏云漏洞平臺(tái)披露攜程網(wǎng)安全漏洞

3月22日傍晚6點(diǎn)多，互聯(lián)網(wǎng)漏洞報(bào)告平臺(tái)烏云網(wǎng)發(fā)布了一則重磅消息——攜程將用于處理用戶支付的服務(wù)接口開(kāi)啟了調(diào)試功能，使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器，有可能被任意駭客讀取。

根據(jù)烏云的報(bào)告，漏洞泄露的信息包含用戶姓名、身份證號(hào)碼、銀行卡號(hào)和類別、卡CVV碼(即卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)、6位卡Bin(用于支付的6位數(shù)字)。換句話說(shuō)，擁有了以上信息，就能完成整個(gè)上網(wǎng)的支付流程。

消息發(fā)布沒(méi)過(guò)多久，攜程網(wǎng)“信用卡門”就成為了口耳相傳的熱點(diǎn)話題。不少網(wǎng)友聯(lián)系銀行客服要求更換信用卡。“攜程出了事以后，剛掛失完兩個(gè)工行的，建行處理起來(lái)還比較麻煩，95533人工占線，三張?jiān)跀y程用過(guò)的銀行卡準(zhǔn)備全部注銷！”某網(wǎng)友說(shuō)道。

攜程致歉：沒(méi)有泄漏用戶信息，如有損失愿承擔(dān)責(zé)任并賠付

3月23日早上7點(diǎn)多，攜程在其官方微博上發(fā)布聲明：“對(duì)于烏云平臺(tái)發(fā)現(xiàn)的漏洞信息，攜程非常重視。消息一經(jīng)傳出，我們連夜徹查，并在兩小時(shí)內(nèi)修復(fù)了這個(gè)漏洞。據(jù)排查，除了漏洞發(fā)現(xiàn)人做了少量的測(cè)試下載并已全部刪除外，沒(méi)有出現(xiàn)惡意下載有關(guān)數(shù)據(jù)的情況，用戶在攜程的交易仍舊是安全的，用戶的信息安全沒(méi)有受到影響。事件發(fā)生后，攜程同各大銀行均取得聯(lián)系，經(jīng)核實(shí)，目前也沒(méi)有出現(xiàn)用戶信用卡被盜刷的情況。”

在攜程第一時(shí)間承認(rèn)“安全漏洞”存在的同時(shí)，仍有客戶在質(zhì)疑“漏洞”是怎樣產(chǎn)生的？攜程方面稱:“由于其技術(shù)人員之前為了排查系統(tǒng)疑問(wèn)，留下了臨時(shí)日志，因疏忽未及時(shí)刪除，目前這些信息已全部刪除。”

那么這個(gè)日志里面存儲(chǔ)了什么信息呢？由于這個(gè)日志是支付接口記錄的（或許也有其他的非支付接口），里面包含有持卡人姓名，持卡人身份證，卡號(hào)，CVV碼，銀行6位Bin（用于驗(yàn)證支付信息的6位數(shù)字）。這里面最要命的就是CVV碼，CVV碼是用來(lái)驗(yàn)證支付方是否是用戶本人的驗(yàn)證碼。換句話說(shuō)，一般使用卡號(hào)和CVV碼就可以直接付款了。好了，這就意味著，如果有黑客在豬豬俠之前發(fā)現(xiàn)這個(gè)漏洞，獲取到支付日志，那么就可以使用支付日志上別人的卡號(hào)和CVV碼來(lái)付款購(gòu)買貨物了。

3/23日，攜程在發(fā)現(xiàn)這個(gè)漏洞的時(shí)候發(fā)表聲明，說(shuō)在發(fā)現(xiàn)漏洞之后的兩個(gè)小時(shí)，就已經(jīng)將漏洞修復(fù)了。并且在修復(fù)之后檢查日志下載情況，并沒(méi)有遭到惡意下載。對(duì)涉及存在潛在風(fēng)險(xiǎn)的93名用戶，已經(jīng)告知了。

這個(gè)聲明的意思就是說(shuō)，從線上調(diào)試模式開(kāi)啟到調(diào)試模式關(guān)閉中間保存的日志中，只有93名用戶有記錄，其他用戶并沒(méi)有支付記錄。再者，這個(gè)日志并沒(méi)有被其他黑客下載過(guò)，也還沒(méi)有發(fā)生信用卡被盜刷事件。

這次攜程網(wǎng)泄露用戶支付信息事件正發(fā)生在傳統(tǒng)金融業(yè)與互聯(lián)網(wǎng)金融激烈博弈期間，以用戶安全為由，監(jiān)管部門正要對(duì)第三方支付施加諸多限制，在這個(gè)關(guān)鍵時(shí)期爆出這樣的事情，攜程可謂給央行想睡覺(jué)就送上了枕頭。

從用戶角度來(lái)看，不要只看一個(gè)事件而否定一個(gè)公司，而要看公司處理事件的態(tài)度。從這個(gè)信用卡門事件上來(lái)看，攜程處理的速度和態(tài)度還是很可以的。攜程提出的“如果有信用卡盜刷，公司全額賠付”，“漏洞懸賞500w”，“發(fā)現(xiàn)漏洞兩個(gè)小時(shí)處理”都是切中了用戶擔(dān)心和顧慮的點(diǎn)的。

互聯(lián)網(wǎng)給我們帶來(lái)便捷的同時(shí)必然帶來(lái)了安全問(wèn)題。但是從本質(zhì)來(lái)說(shuō)，安全問(wèn)題不只是技術(shù)應(yīng)該要考慮的問(wèn)題，而應(yīng)該是技術(shù)，制度，信用機(jī)制一同發(fā)力的問(wèn)題。企業(yè)中對(duì)技術(shù)、運(yùn)營(yíng)等需要制定一系列的規(guī)章制度，才能最大程度避免安全問(wèn)題。當(dāng)然，這么說(shuō)已經(jīng)是很空很大的套話了，具體怎么做還要看各個(gè)公司自己的了。

注：本文首發(fā)于時(shí)代光華資訊中心頻道，歡迎轉(zhuǎn)載，轉(zhuǎn)載請(qǐng)注明出處，違者必究！

相關(guān)鏈接：

企業(yè)管理 培訓(xùn)課程

從優(yōu)秀專才走向管理者

怎么才是好的企業(yè)管理者？