ZDnet 发表于:14年03月31日 11:37 [综述] DOIT.com.cn
携程网的漏洞事件已经在互联网上炒得沸沸扬扬,自从乌云网的消息一经披露,立刻一石激起千层浪,谩骂声、讨伐声一时百千齐作,携程网成了众矢之的。一时间,全民像陷入了无意识状态般将矛头纷纷指向了携程。
细想一下用户们的心情,几乎了解这条新闻的人都曾使用过携程网,一听到携程网信用卡信息泄露这种关键词,神经肯定会变得高度紧绷,这都是无可厚非的,谁也不愿意拿自己辛辛苦苦挣来的血汗钱为携程没有做到位的保险措施来买单。但是冷静地想一想是不是这次事件的泡沫比事件本身更丰富?
这次事件的源于一位名为猪猪侠的白帽声称找到了“携程安全支付日志可遍历下载导致大量用户银行卡信息泄露(包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。一旦这些信息被不法分子掌握,携程用户的信用卡将被任意盗刷。”不可否认,安全无小事,我们不能否认这对于黑客来说是个“利好”消息,可能也真的有黑客在此之前就已经蠢蠢欲动了。消息经媒体披露后更是令人惶惶不可终日,于是有了凌晨四点拨至银行的咨询电话,有了等候更换信用卡的长龙,这一切都是因为大家已经觉得自己“不安全”了。
继而,就是很多评论文章中所提及的PCI-DSS标准,在PCI-DSS标准 中,明确的定义了如何实施数据保护,以及哪些信息是可以保存,哪些信息是不能保存(尤其是明文保存)的(比如CVV等敏感信息)。因此携程这次是明确的违 反了PCI-DSS的相关规定。至于携程面对为何保留了CVV敏感信息这个问题更是让其百口莫辩。这是它留给媒体的一个把柄,也更让广大用户的心始终惴惴不安。
我不想以每个网站都是存在漏洞的,是绝对安全的,只是其他网站侥幸没有“躺枪”这种万金油式的理由为携程开脱,携程确实犯了不该犯的错,并且还运气很背得恰好撞到了高手的枪口上,对此只能表示遗憾。我们现在要关注的是携程面临抨击、威胁和信誉度陡然下降时的态度和反应。面对用户的质疑和声讨,我们来看看携程做出的回应:譬如针对93位“不幸命中者”获得在此期间内的赔偿,并在两小时之内修复了漏洞。对于这次事件是否会引发何种“后遗症”也在携程考虑范围之内。上周,携程已建立安全应急响应中心(sec.ctrip.com),并设立了总额500万的信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。同时,携程将邀请国际知名信息安全认证机构,来共同保障用户的个人信息安全。携程还是希望自己的系统更加安全可靠的,只是这次重赏之下必有勇夫,也确实吸引了“高人”。我们可以说在一些方面携程确实做得不尽如人意,但是它确实做了些什么。从某种层面上来说,我们可能有点反应过激了,在发现此漏洞时这位发现者凭借着自己高尚的良知将其提交给了乌云网,并且告诫我们“此漏洞可能导致信息泄露”而非信息已经泄露,我们不用现在就怀着急迫的心情去银行玩“接龙”。
这次银行卡信息泄露事件对于携程来说是当头一棒,也恰是考验一个企业是否具备优秀品质的时刻,从容应对,坦诚接受来自社会各界的指责和批判也许对于携程来说是最好的选择,逆境之下的携程如何抉择,究竟是“东山再起”还是“一蹶不振”?让我们拭目以待。