正确的提示信息
扫码打开虎嗅APP
从思考到创造
打开APP
资讯
视频
前沿科技
车与出行
商业消费
社会文化
金融财经
出海
国际热点
游戏娱乐
健康
书影音
医疗
3C数码
观点
其他
虎嗅视界
24小时
专题活动
妙投APP
虎嗅智库
登录
极速注册
取消
搜索历史
删除
完成
全部删除
数码
互联网
数码
互联网
热搜词
山姆超市
中秋
美国
美国经济
安全
航空业
娱乐
爆炸
消费电子
账号或密码错误
2014-03-24 07:56
携程被“信用卡门”卡哪儿了?
轩脉刃
携程网在3月22日爆出的信用卡门事件,似乎在和上个周刚开完的315事件相互呼应。互联网安全问题再一次引起大家的重视。话说回来,互联网的安全问题已经存在不是一天两天了,但是近几年由于越来越多支付、购买等金钱相关行为在PC互联网或者移动互联网上操作,安全问题又进入了大众的关注焦点了。
携程网的信用卡门事件到底从技术上是怎么回事呢?
乌云上的猪猪侠在3-22日提交了一个
漏洞
。漏洞说的是这么两件事情:
首先,携程的将支付接口开启了“调试模式”,调试模式就是为了调试线上的问题,开启之后,把用户的请求在服务端做个日志。目的是为了分析日志来提供线上bug检查等。
本来这个日志是放在携程服务端的,没什么泄露问题。但是偏偏携程保存日志的服务器还存在一个漏洞,可以让人遍历日志目录。
这两个漏洞加起来,就意味着在调试模式开启的过程中的所有用户请求日志都可能被黑客获取到。
那么这个日志里面存储了什么信息呢?由于这个日志是支付接口记录的(或许也有其他的非支付接口),里面包含有持卡人姓名,持卡人身份证,卡号,CVV码,银行6位Bin(用于验证支付信息的6位数字)。这里面最要命的就是CVV码,CVV码是用来验证支付方是否是用户本人的验证码。换句话说,一般使用卡号和CVV码就可以直接付款了。好了,这就意味着,如果有黑客在猪猪侠之前发现这个漏洞,获取到支付日志,那么就可以使用支付日志上别人的卡号和CVV码来付款购买货物了。
3/23日,携程在发现这个漏洞的时候发表声明,说在发现漏洞之后的两个小时,就已经将漏洞修复了。并且在修复之后检查日志下载情况,并没有遭到恶意下载。对涉及存在潜在风险的93名用户,已经告知了。
这个声明的意思就是说,从线上调试模式开启到调试模式关闭中间保存的日志中,只有93名用户有记录,其他用户并没有支付记录。再者,这个日志并没有被其他黑客下载过,也还没有发生信用卡被盗刷事件。
从技术上来说,携程这次错在几个地方
1 不应该在线上开启调试模式来记录用户日志。
对于支付第三方来说,“不应该记录用户的任何隐私信息”这应该是条铁规矩。漏洞出现说明了携程没有完全给内部人员灌输这个概念。我相信开启调试模式的工程师绝对不会考虑到携程还有可以遍历日志的漏洞。
2 不应该有能遍历目录的漏洞。
个人觉得这个漏洞比第一个漏洞可能更为可怕。如果一个服务器上的目录能被遍历,那其中的代码就可能被遍历,代码中有没有保存数据库的密码?黑客从代码中能不能看出一些绕过检测的方法?这些,都可能是问题。
3 不应该明文记录用户的CVV。
但是这个实际上是后话了,在开启调试模式的时候,如果压根就没想到日志会被泄露,根本也就不会考虑到使用密文来记录日志的。
风波远远不止步于此
CCTV,各大TV,各大门户网站都对这个事情做了详细的报导。对于携程来说,可能造成的直接损失有:
1 用户的大量流失
在支付问题上,用户的观点是宁可“错杀一千,不能放过一个”的。这个事件导致携程在用户心目中的信用大打折扣,甚至有极端用户反映“除非没有第二家选择,再也不用携程了。”
2 对手乘势打击
携程的对手,诸如同程、艺龙、去哪儿等首先一定庆幸这个漏洞不是发生在自己身上,在检查自身漏洞之后,下一步就该考虑着如何接收携程流失的用户了。
3 股价影响
这事对携程股价走势影响,看美国周一开盘情况即知。
互联网安全几何?
说句公道话,互联网安全永远都是攻防战。没有绝对的安全。
携程即使是上市公司,也不可能做到100%的无漏洞。举个例子来说,国内QQ已经是非常强大的技术团队了,照样前段时间还出现微信视频门事件。而此家彼家的互联网公司,估摸大致也差不多。对于已经暴露出来的问题,我们已经可以安心,但是对于一些未知的,我们仍然什么也不知道。一家从来没有暴露过安全问题的公司不比一家暴露过安全问题的公司安全到哪里去。
所以说,笔者的观点就是,从用户角度来看,不要只看一个事件而否定一个公司,而要看公司处理事件的态度。从这个信用卡门事件上来看,携程处理的速度和态度还是很可以的。携程提出的“如果有信用卡盗刷,公司全额赔付”,“漏洞悬赏500w”,“发现漏洞两个小时处理”都是切中了用户担心和顾虑的点的。
互联网给我们带来便捷的同时必然带来了安全问题。但是从本质来说,安全问题不只是技术应该要考虑的问题,而应该是技术,制度,信用机制一同发力的问题。企业中对技术、运营等需要制定一系列的规章制度,才能最大程度避免安全问题。当然,这么说已经是很空很大的套话了,具体怎么做还要看各个公司自己的了。
本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
频道:
商业消费
支持一下
赞赏
0人已赞赏
分享至:
0
大 家 都 在 看
如果你是携程用户,请注意头顶的安全乌云
虎嗅
08:17
你的隐私,是怎么被手机扒光的
张博文
携程"泄密门"给央行监管送上合理理由
嗅友q5heO
从技术角度看,携程犯了这么几个错
首席发言者
过爆了的“携程信用卡事件”
余弦
从携程事件看支付安全监管手段选择
嗅友q5heO
揭秘互联网大厂的隐私贩卖产业链
凤凰网科技
53万个账号遭黑客公开叫卖,Zoom你怎么看?
量子位
网页浏览器泄露隐私,Cookie是罪魁祸首?
MacTalk©
为什么所有APP都想访问你的通讯录?
豹变
涉及5亿用户的安全漏洞,iOS 6以上设备全中招
量子位
08:40
#苹果又来了
“壁垒森严”的苹果能保护隐私安全吗?
馒头De爸爸
03:06
#高新技术流
开放显示IP属地,全网翻车?
脑极体
21:24
习惯通用一个账号密码?你的隐私信息可能已经暴露了
造就Talk
07:13
互联网垄断来袭,谁来守住用户的隐私底线?
动动枪DongDongGun
06:48
#AI有多智能
隐私保护的终点是自发上传“果照”?
ECO新势
12:54
#数码最前线
你被“偷窥”了?如何保障手机信息安全?
小白测评
14:30
令人绝望的是,就连黑客也无法阻止隐私数据被记录和传输
造就Talk
07:08
#盘一盘APP
WiFi万能钥匙,为何会落寞成今天这样?
科技狐
08:42
#想通了吗
“偷听”太简单,隐私早完蛋
想通了吗
大 家 都 在 搜
山姆超市
中秋
美国
美国经济
安全
航空业
娱乐
爆炸
消费电子
APP内打开
好的内容,值得赞赏
您的赞赏金额会直接进入作者的虎嗅账号
自定义
支付:
元
匿名赞赏
支付