這兩日���,關(guān)于攜程曝出的信用卡安全支付漏洞事件被鬧得沸沸揚(yáng)揚(yáng)����。3月22日�����,據(jù)專業(yè)漏洞報(bào)告平臺(tái)烏云網(wǎng)公布�,攜程安全支付日志可下載���,導(dǎo)致用戶銀行卡信息泄露(包含持卡人姓名、身份證����、銀行卡號(hào)、卡CVV碼�、6位卡Bin)。
事件發(fā)生后�,攜程做出了相關(guān)回應(yīng)。攜程表示:“攜程的技術(shù)開發(fā)人員之前是為了排查系統(tǒng)疑問(wèn)�����,留下了臨時(shí)日志�,因疏忽未及時(shí)刪除�����,目前�����,這些信息已被全部刪除��。”另?yè)?jù)攜程排查:“除了漏洞發(fā)現(xiàn)人做了少量的測(cè)試下載并已全部刪除外,沒(méi)有出現(xiàn)惡意下載有關(guān)數(shù)據(jù)的情況����。經(jīng)各銀行反饋,沒(méi)有發(fā)生攜程用戶信用卡被盜刷的情況”�����。攜程表示���,未來(lái)如果因安全漏洞引起用戶損失�����,攜程將承擔(dān)全部責(zé)任并給予賠付����。
雖然從目前看來(lái)���,事件的影響似乎未及想象中那般惡劣�����。但從人們對(duì)該事件的關(guān)注程度及各方評(píng)論來(lái)看��,這次波及全國(guó)的信用卡信息大泄露���,無(wú)疑為日益增長(zhǎng)的網(wǎng)絡(luò)支付市場(chǎng)帶來(lái)了不小的沖擊����。
從技術(shù)層面講���,此次事件是攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能�,將用戶支付的記錄用文本保存了下來(lái)�。同時(shí)因?yàn)楸4嬷Ц度罩镜姆⻊?wù)器未做校嚴(yán)格的基線安全配置,存在目錄遍歷漏洞��,導(dǎo)致所有支付過(guò)程中的調(diào)試信息可被任意駭客讀取���。
然而�����,在此次事件中,攜程保存客戶信息�、特別是對(duì)用戶的CVV代碼的記錄是明顯違反銀聯(lián)規(guī)定。特別是PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))明確規(guī)定不允許存儲(chǔ)CVV���,而作為支付頁(yè)面通過(guò)了PCI認(rèn)證的攜程來(lái)說(shuō)��,做出這樣的舉動(dòng)不禁令業(yè)界嘩然����。
或許攜程此舉并非故意存儲(chǔ)CVV信息,但其數(shù)據(jù)傳輸為明文����、線上長(zhǎng)時(shí)間打開調(diào)試功能、系統(tǒng)日志中亦為明文且未及時(shí)清理的做法�,明顯違反了“敏感信息需加密存儲(chǔ)、線上開調(diào)試功能需慎重����、系統(tǒng)日志要及時(shí)清理、服務(wù)器安全性要達(dá)標(biāo)”等常識(shí)問(wèn)題��。加之其所存儲(chǔ)的服務(wù)器存在安全漏洞�,一系列的因素導(dǎo)致了如今攜程用戶“一夜之間換卡忙”的局面。
在網(wǎng)絡(luò)安全界�����,永遠(yuǎn)沒(méi)有絕對(duì)的安全����,安全就是一場(chǎng)攻防戰(zhàn)���。那么,是否我們消滅漏洞�,就能夠保護(hù)好信息安全?
攜程漏洞的曝出也許不是偶然的事情,但也絕非當(dāng)前互聯(lián)網(wǎng)信息安全中的個(gè)例���。攜程泄漏門事件告訴我們:決定網(wǎng)絡(luò)安全的攻防戰(zhàn)勝負(fù)的�����,絕不僅僅只是技術(shù)的問(wèn)題�,而是包含了技術(shù)��、安全意識(shí)���、制度��、監(jiān)管��、信用機(jī)制等一系列因素。
在此次事件中��,我們并不主張以最大的惡意去揣測(cè)攜程的一系列不規(guī)范操作,但攜程技術(shù)人員的操作行為已然暴露出當(dāng)前從業(yè)人員的安全意識(shí)相當(dāng)?shù)?此外�,攜程作為已通過(guò)PCI-DSS認(rèn)證的企業(yè),卻做出記錄CVV碼這樣的違規(guī)行為���,我們不禁要問(wèn)����,沒(méi)有監(jiān)管到位的認(rèn)證���,是否只是一個(gè)擺設(shè)?
另外���,攜程“泄露門”事件對(duì)正在發(fā)展中的互聯(lián)網(wǎng)金融無(wú)疑是重重一擊,同時(shí)損失的����,還有整個(gè)中國(guó)互聯(lián)網(wǎng)長(zhǎng)久以來(lái)建立起來(lái)的公信力。
如今����,網(wǎng)絡(luò)支付已是大勢(shì)所趨,互聯(lián)網(wǎng)給我們帶來(lái)便捷的同時(shí)必然帶來(lái)了安全問(wèn)題�。攜程此次的“泄露門”事件也或許會(huì)成為中國(guó)網(wǎng)絡(luò)支付的一次標(biāo)志性安全事故。在敲響警鐘的同時(shí),我們更希望這次事件會(huì)再次讓中國(guó)的網(wǎng)絡(luò)安全界認(rèn)識(shí)到:任何以犧牲網(wǎng)絡(luò)安全的代價(jià)的做法��,都將會(huì)給互聯(lián)網(wǎng)的發(fā)展帶來(lái)毀滅性的打擊����。
正如業(yè)內(nèi)安全專家安全寶聯(lián)合產(chǎn)品副總裁吳翰清對(duì)此次事件的評(píng)論:“對(duì)攜程來(lái)說(shuō),這次的事件與其說(shuō)是技術(shù)上的漏洞�,不如說(shuō)是信譽(yù)上的危機(jī)。同時(shí)也讓我們看到了安全的重要性:建立用戶信任可能需要若干年�,毀掉它卻只需要一天。”對(duì)于整個(gè)互聯(lián)網(wǎng)來(lái)說(shuō)�,又何嘗不是如此?重視網(wǎng)絡(luò)安全,莫讓互聯(lián)網(wǎng)的千里之堤����,潰于缺乏網(wǎng)絡(luò)安全防護(hù)的蟻穴。
原文出自【比特網(wǎng)】�����,轉(zhuǎn)載請(qǐng)保留原文鏈接:https://sec.chinabyte.com/392/12896892.shtml
