正确的提示信息
扫码打开虎嗅APP
从思考到创造
打开APP
资讯
视频
车与出行
年轻一代
十亿消费者
前沿科技
财经
娱乐淘金
医疗健康
文化教育
出海
金融地产
企业服务
创业维艰
社交通讯
全球热点
生活腔调
榜单
虎嗅视界
24小时
活动
妙投APP
虎嗅智库
登录
极速注册
取消
搜索历史
删除
完成
全部删除
数码
互联网
数码
互联网
热搜词
五一
码农
管理方式
旅游
县城
光伏
储能
游客
消费主义
账号或密码错误
2014-03-23 19:50
从技术角度看,携程犯了这么几个错
首席发言者
理应说这次重大事件发生,携程应当第一时间通知用户,而不是通知乌云。看来携程这次出大事了,那我想从技术角度看看携程到底犯了哪些错。
1、保存CVV等同于保存用户密码
进入支付金额这一流程,携程只要求输入身份证号、持卡人姓名、信用卡卡号、信用卡卡背面上三位CVV安全码,交易就宣告成功,根本无需输入信用卡密码。
说的通俗点,CVV安全码等同于密码,所以很多有戒备心的用户都是在办理信用卡后将后三位涂摸掉,以防刷卡时被人发现,就可以直接刷其信用卡的现金。
而携程私自保存CVV安全码的行为,其本质上就是在用户输入交易密码私下留存的行为,这种行为也是银行明文禁止的,携程作为这样一个大公司,居然私自保存用户CVV安全码,着实让人不可思议。
2、明文保存
再将CVV安全码同支付宝密码,银行卡密码作对比,又暴露了什么问题?
首先任何网站的用户的密码都应当是经过不可逆转的加密保存,无法明文保存,用非技术的话来说就是数据库后台工程师看到的用户密码都无法进行任何操作,因为假设原来用户的密码是“123123”那么后台密码就可能是“SDF23KLFAS2323KK4”之类的经过复杂算法后的暗码。
如果携程此次是将CVV加密保存,那么就算是被检查出有漏洞,也绝不会有太大危险。
我们再次回看2011年CSDN被爆明文保存密码被拖库事件:
一、CSDN 帐号数据库是明文保存密码吗?
2009 年 4 月之前是明文,2009 年 4 月之后是加密的,但部分明文密码未清理;2010 年 8 月我来 CSDN 以后清理掉了所有明文密码。所以从 2010 年 9 月开始全部都是安全的,9 月之前的有可能不安全。
二、我的 CSDN 帐号是安全的吗?需要修改密码吗?
1、如果你是 2009 年 4 月以前注册的帐号,且 2010 年 9 月之后没有修改过密码,请立即修改密码;
2、如果你是 2009 年 4 月以后注册的帐号,且 2010 年 9 月之后没有修改过密码,建议修改密码;
3、如果你是 2010 年 9 月以后注册的帐号,不必修改密码,但邮箱有泄露可能性;
4、如果你是 2011 年 1 月以后注册的帐号,帐号,密码和邮箱都非常安全;
从中说明了一件事,一旦用明文保存用户信息有过一段时间,都是很危险的事情,哪怕你之后将明文改成了暗文,只要之前的数据被黑客得到过,都会遭遇极大危险。
三、无法兑现赔付承诺
可以试想一下,只要用信用卡支付过一次的携程用户都会遭遇到被刷卡的风险。而用户解决的唯一方法就是换卡。携程声明中声称没有用户出现被盗的情况,但是还是通知用户去换卡,只能说明心虚无疑。而一旦用户的信用卡被盗刷,如果要想投诉携程,恐怕携程也不太可能承认,如果承认将会出现更大危机,而用户也无法找到任何证据说明自己信用卡被盗刷是因为携程的原因。
所以携程关于“倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。”的承诺只是一句漂亮的空话而已,在具体落实的层面是极难操作的。
四、危险可能已经发生
携程该漏洞只是在乌云大牛猪猪侠发现后被补上,但完全不排除已经有其他高手早已将之攻破,已经在进行暗箱操作。
信用卡有支付限制,每天只能小额转移,在大额转以上还需要手机认证,但如果黑客坐拥如此海量携程用户,并且每天像是在羊群身上抽羊毛,用户都不会觉得痛,只需要几天时间,便可以将大量现金转账,仔细想想,这也是一件非常恐怖的事情。
这就像CSDN之前是用明文保存的用户只要不修改密码,就一定可以被黑客利用是一个道理,哪怕09年4月以后CSDN使用了暗码保存也同样没用,这个数据库已经拖出来了,已经无法挽回了。
是否携程用户的数据已经被其他黑客截取正在进行着地下转移,我们都不知道,只希望还是不要的好。
所以奉劝曾经在携程上使用过信用卡的用户,以防万一,还是赶紧换卡为妙。携程自己都不敢百分之百保证安全,还是通知部分用户去换卡,为了保险起见建议大家换卡,小心下一个被刷卡的可能就是你。
结语:从远期的人人,CSDN,天涯被曝拖出明文数据库,再到近期的全球最大比特币交易网站Mt.Gox被黑客盗走75万比特币,以及刚刚发生的携程事件,这个网络世界着实让人感到不安全,我们需要交易需要服务,但同时我们也需要更加安全的平台来保护我们的利益,而不是让我们随时陷入恐慌之中。
欢迎关注作者微信公众号:首席发言者
本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
支持一下
赞赏
0人已赞赏
分享至:
0
大 家 都 在 看
携程被“信用卡门”卡哪儿了?
轩脉刃
04:18
#5分钟科普
密码防泄漏指南:我们应该怎样设置密码?
歌者酷玩
从携程事件看支付安全监管手段选择
嗅友q5heO
携程没有暴跌,做市商制度显现优越性
Eastland
我的隐私只能卖一分钱?
果壳
神秘黑产盯上你的iPhone账号:深度调查揭露盗刷链
每经头条©
这次微软才是“人类希望”,它让你不用再记密码了
爱范儿
骗子盯上了搜狐的邮箱
深燃
53万个账号遭黑客公开叫卖,Zoom你怎么看?
量子位
危险的指纹识别,86万银行存款突然没了
火星商业
“骗子怎能用他的指纹转走我的钱?”
IT时报
12:58
你的个人隐私是如何裸奔被贱卖的?
三节课
05:18
#高新技术流
科技巨头力推的无密码登录,是什么新技术?
歌者酷玩
12:54
#数码最前线
你被“偷窥”了?如何保障手机信息安全?
小白测评
07:48
#数码最前线
7分钟被盗刷1.6万元,iPhone存在严重漏洞?
科技狐
08:17
你的隐私,是怎么被手机扒光的
张博文
10:17
#小行业大作为
为了消灭密码,人类都做了些什么?
量子位
03:06
#高新技术流
开放显示IP属地,全网翻车?
脑极体
04:32
#5分钟科普
都2022年了,用公共WiFi上网还是不安全吗?
WhatOnEarth一探究竟
07:48
#科技树点歪了
互联网安全进化论:生物识别凭什么消灭密码?
虎学研究
大 家 都 在 搜
五一
码农
管理方式
旅游
县城
光伏
储能
游客
消费主义
APP内打开
好的内容,值得赞赏
您的赞赏金额会直接进入作者的虎嗅账号
自定义
支付:
元
匿名赞赏
支付