这两日,关于携程曝出的信用卡安全支付漏洞事件被闹得沸沸扬扬。3月22日,据专业漏洞报告平台乌云网公布,携程安全支付日志可下载,导致用户银行卡信息泄露(包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin)。
事件发生后,携程做出了相关回应。携程表示:“携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。”另据携程排查:“除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况。经各银行反馈,没有发生携程用户信用卡被盗刷的情况”。携程表示,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
虽然从目前看来,事件的影响似乎未及想象中那般恶劣。但从人们对该事件的关注程度及各方评论来看,这次波及全国的信用卡信息大泄露,无疑为日益增长的网络支付市场带来了不小的冲击。
从技术层面讲,此次事件是携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
然而,在此次事件中,携程保存客户信息、特别是对用户的CVV代码的记录是明显违反银联规定。特别是PCI-DSS(第三方支付行业数据安全标准)明确规定不允许存储CVV,而作为支付页面通过了PCI认证的携程来说,做出这样的举动不禁令业界哗然。
或许携程此举并非故意存储CVV信息,但其数据传输为明文、线上长时间打开调试功能、系统日志中亦为明文且未及时清理的做法,明显违反了“敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标”等常识问题。加之其所存储的服务器存在安全漏洞,一系列的因素导致了如今携程用户“一夜之间换卡忙”的局面。
在网络安全界,永远没有绝对的安全,安全就是一场攻防战。那么,是否我们消灭漏洞,就能够保护好信息安全?
携程漏洞的曝出也许不是偶然的事情,但也绝非当前互联网信息安全中的个例。携程泄漏门事件告诉我们:决定网络安全的攻防战胜负的,绝不仅仅只是技术的问题,而是包含了技术、安全意识、制度、监管、信用机制等一系列因素。
在此次事件中,我们并不主张以最大的恶意去揣测携程的一系列不规范操作,但携程技术人员的操作行为已然暴露出当前从业人员的安全意识相当淡薄;此外,携程作为已通过PCI-DSS认证的企业,却做出记录CVV码这样的违规行为,我们不禁要问,没有监管到位的认证,是否只是一个摆设?
另外,携程“泄露门”事件对正在发展中的互联网金融无疑是重重一击,同时损失的,还有整个中国互联网长久以来建立起来的公信力。
如今,网络支付已是大势所趋,互联网给我们带来便捷的同时必然带来了安全问题。携程此次的“泄露门”事件也或许会成为中国网络支付的一次标志性安全事故。在敲响警钟的同时,我们更希望这次事件会再次让中国的网络安全界认识到:任何以牺牲网络安全的代价的做法,都将会给互联网的发展带来毁灭性的打击。
正如业内安全专家安全宝联合产品副总裁吴翰清对此次事件的评论:“对携程来说,这次的事件与其说是技术上的漏洞,不如说是信誉上的危机。同时也让我们看到了安全的重要性:建立用户信任可能需要若干年,毁掉它却只需要一天。”对于整个互联网来说,又何尝不是如此?重视网络安全,莫让互联网的千里之堤,溃于缺乏网络安全防护的蚁穴。
原文出自【比特网】,转载请保留原文链接:http://sec.chinabyte.com/392/12896892.shtml