漏洞報告平臺烏云前天晚上在其官網上公布了一條網絡安全漏洞信息��,指出攜程安全支付日志可遍歷下載���,導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證���、銀行卡號��、卡CVV碼���、6位卡Bin)。并稱已將細節(jié)通知廠商并且等待廠商處理中����。
雖然影響比不上華為設備遭美國監(jiān)聽的事兒�,但媒體的動作卻放大了這件事情的負面效應,今天攜程的股價也因此受到了輕微的影響���。
有人說��,攜程上用過的信用卡都不安全了?其實這種描述非常不準確���,容易引起不必要的恐慌,按烏云的描述����,是從漏洞出現���,直至22日晚上11點漏洞解決這段時間內,進行過支付交易的用戶有潛在風險�����。目前攜程官方的說法����,是21日22日兩天部分用戶有影響。
有人說�,我選擇把信用卡和攜程解綁了。這個真的沒有必要����,我再強調一次,按烏云的描述�����,是只有支付過程數據可能被非法獲取���。換句話說��,攜程網站本身目前來看是安全的��,如果你在近期特別是21日22日兩天內��,未在攜程上直接使用信用卡支付���,那么是不受影響的���。
有人說,如果面臨風險��,應該如何規(guī)避����、降低風險?(1)如果你是攜程21日22日的用戶��,換卡是最直接最安全的方式�����。(2)如果你不想換卡��,或者無法確定自己是否面臨風險��,那么純銀聯卡可以選擇凍結卡����。以我掛失卡片的經驗來看���,雙幣種卡如果只是凍結,只能阻止銀聯通道消費�����,可能無法阻止外幣通道的消費�。(3)調低或者關閉網上交易,選擇每一筆交易都發(fā)送提醒短信�����,可以有效的幫助你控制風險�����。
有人說�����,雖然我不在攜程公布受到影響范圍內����,但還是很擔心怎么辦?這是一個非常普遍的問題���,但是永遠沒有必定的答案。但是我想告訴你�,如果你不在范圍內,還非常擔心的攜程的話���,你也可以開始擔心你身邊的人���。理論上他們有更大的幾率以觀賞你的錢包為名,記錄下你信用卡相關資料并惡意消費����。
有人說,我真的一點都沒有安全感�����,雖然不在范圍內�����,還是很糾結����。這種人真的不少,昨天在某群里聊到攜程�,最多的網友就是不在攜程公布影響范圍內的用戶,估計范圍內客戶都直接選擇換卡了�。我想說的是,銀行還有發(fā)卡組織�,也不是吃素的,他們會有自己的安全評估體系�。例如,你突然在一個陌生地方消費��,甚至是檢測到你在網銀上輸入的速度超出平時范圍等不正常的狀況���,都可能會有風險預警�����。
有人說����,還可以繼續(xù)信任攜程么?我個人會繼續(xù)使用攜程���,但是要我完全信任某個第三方����,抱歉我做不到,過去就不����。不過,攜程在我眼中是相對可信的�����。由于工作的關系����,我接觸過不少公司和互聯網公司的技術、信息安全團隊��。攜程內部對信息安全的控制��,在我見過的公司中�,意識和重視程度在國內是很高的。
這次的事件�����,很多評論文章都沒有提到PCI-DSS標準����,其實通過這個簡單的維度就可以判斷哪篇評論靠譜,哪篇不靠譜���。PCI-DSS是「第三方支付行業(yè)數據安全標準」����,由VISA與MasterCard牽頭制定����。凡是要做第三方支付業(yè)務,想在美國上市��,必須要過這個標準��。而在PCI-DSS標準中���,明確的定義了如何實施數據保護��,以及哪些信息是可以保存�����,哪些信息是不能保存(尤其是明文保存)的(比如CVV等敏感信息)��。因此攜程這次是明確的違反了PCI-DSS的相關規(guī)定����。
因為攜程在上市的時候肯定是通過了PCI-DSS標準的,由此也可以看出一些安全標準從實施到維持是何等的艱難�����。而“安全標準”�、“合規(guī)”的要求現在已經淪落為一門生意,含金量越來越低����。實施PCI-DSS的安全公司可能會給客戶提交一大堆文檔,但真正認真去落地的公司越來越少了��。所以通過了安全標準并不意味著什么�,只是花錢買了個牌照而已。比如PCI-D