携程究竟错在哪里:支付流程和风险管理

朱晓培 |2014-04-15 17:261424

这次安全漏洞事件,携程暴露出来的不仅仅是信息泄露一点,还有支付流程和风险管理问题。专注于安全保护的梆梆安首席运营官赵宇认为,携程暴露出来的不仅仅是信息泄露一点,还有支付流程和风险管理问题。

  携程需要加大信息安全上的投入

  这次安全漏洞事件,携程暴露出来的不仅仅是信息泄露一点,还有支付流程和风险管理问题。

  本刊记者 朱晓培

  如同硬币的正反面,科技发展带给人们便利的同时,各种烦恼也如影随形。

  3月22日,乌云漏洞平台发布了一个编号为WooYun-2012-54302的漏洞报告。报告指出,由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可以被任意黑客读取。

  这将导致大量用户银行卡信息泄露,其中包含持卡人姓名、身份证号、银行卡号、卡CVV码、6位卡Bin等等。有了这些信息,基本已经可以进行支付。

  那么,携程究竟错在哪里?专注于安全保护的梆梆安首席运营官赵宇认为,携程暴露出来的不仅仅是信息泄露一点,还有支付流程和风险管理问题。

  1.付款流程没有经过安全评估

  “上市公司产品发布前是需要有安全评估流程的,但显然携程缺失了这一环节。”赵宇说。当然,由于国内的信用卡支付大多数时候需要短信验证,此次信息泄露对用户的影响可能“没那么夸张”。事后,漏洞的发现者、乌云漏洞报告平台核心白帽子黑客王音也在其个人微博发布声明称:“大家对于信用卡相关话题的反应有点过于敏感了,目前本人已经将安全测试涉及的日志信息彻底删除,而且卡号等敏感信息有加密,携程也已经及时修复漏洞,相关信息并没有被传播。”

  2.存储数据的边界

  从纯技术的视角说,这个安全事件并不是很严重,携程在发布的声明中解释说,携程技术人员之前为了排查系统疑问,留下了临时日志,因疏忽未及时删除。但是作为客户,人们不免要追问:为什么携程会保存CVV信息?作为OTA等第三方平台,合规做法是用户卡信息系统不得记录,但实际上,为了方便旅客下次消费直接调出记录支付,网站通常会记录下客户的信用卡全部信息。

  对于第三方平台来说,只要保存了用户资料,就会有风险存在。“在中国,一个文件从电脑(手机)到服务器中间的传输过程中,可能被10多家公司的10多种设备监听。”赵宇说,无法保障还原后的隐私不会被泄露出去。

  在王音看来,目前携程需要做的是加大信息安全投入,让技术人员有动力去处理安全问题,从而营造出越来越好的安全生态,“促使这个生态形成,就是乌云要做的事情。”

  历史上的重大信息泄露事件

  1.如家、七天开房信息泄密:曝光用户信息多达2000万条

  2013年10月,如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。在一个名为“查开房”的网址,只需输入姓名或身份证号,即可查询到包括身份证号、地址、手机号、登记日期等真实信息。

  2.棱镜门事件:美国政府窥探着全世界的一切

  据美国中情局前职员爱德华·斯诺登爆料:“棱镜”窃听计划开始于2007年的小布什时期,监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节。

   3.“社工库”叫卖用户账号、密码

  2012年11月,一个自称是国内最全、每日更新300兆的“社工库”网站,公开出售自己所拥有的互联网用户的账号和密码,据称开价500元就可以买到100万条密码。该网站称自己拥有“300亿彩虹库”,“所有的密文都可以瞬时被破解”。在其主页上的标语是“社工库只有你想不到的查询方式,没有我们查不到的信息。”

  4.CSDN、天涯网等大面积泄露用户账号

  2011年12月,CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。随后,多玩、世纪佳缘、走秀、天涯、支付宝、京东等网站相继被曝用户数据遭泄密。

1
发表评论
同步到贸金圈表情
最新评论

线上课程推荐

火热融资租赁42节精品课,获客、风控、资金从入门到精通

  • 精品
  • 上架时间:2020.10.11 10:35
  • 共 42 课时
相关新闻

金融监管总局:保险机构应建立欺诈风险管理信息系统或将现有信息系统嵌入相关功能

2024-08-05 11:42
61568

中信银行“一站式”服务 助力企业汇率风险管理

2024-01-08 18:06
192592

浙江泰隆商业银行湖州分行风险管理岗招聘启事

2023-07-25 16:17
187430

中金公司股票业务部信用风险管理岗招聘启事

2023-06-17 11:59
181457

广东华兴银行广州分行风险管理部风险经理岗招聘启事

2023-05-20 19:37
178196

中国银保监会发布2022年度保险公司偿付能力风险管理评估结果

2023-04-23 10:24
110411
7日热点新闻
热点栏目
贸金说图
专家投稿
贸金招聘
贸金微博
贸金书店

福费廷二级市场

贸金投融 (投融资信息平台)

活动

研习社

消息

我的

贸金书城

贸金公众号

贸金APP