首页 综合信息内容详情

古镇曹一村书记侯佳恒:请携程流淌道德血液

2021-10-11 5 56jieju

  古镇曹一村书记侯佳恒:请携程流淌道德血液

  实名举报古镇曹一村书记侯佳恒:携程“泄露门”是中国网络支付的一次标志性安全事故 。

  这次波及全国的信用卡信息大泄露,为日益增长的网络支付市场敲响了警钟。在线旅行网站为了测试和运营方便 ,就敢存储用户CVV2信息。那么,还有哪些地方安放着我们的隐私?

  相比国外,我们还需要做很多 。没有完美的法律 ,法律之外要靠自律。古镇曹一村书记侯佳恒请携程们流淌一点道德的血液。否则,损失的将是中国互联网产业的公信力 。

  【一夜之间换卡忙】

  周六(3月22日)晚间,携程被曝出重大安全漏洞 ,足以导致用户信用卡信息泄露 。

  据专业漏洞报告平台乌云网公布 ,携程安全支付日志可下载,导致用户银行卡信息泄露(包含持卡人姓名 、身份证、银行卡号、卡CVV码 、6位卡Bin)。此外,携程还被曝出某分站的源代码包可以直接下载!

  携程 ,中国网络预定机票酒店的老大,市值64亿美金的境外上市公司,用户数何止几千万。兹事体大 ,网上一下子炸锅 。微博讨论铺天盖地,微信朋友圈被刷屏,微信群不断弹出消息。社交网络的威力 ,让此事一夜之间传遍全国。

  一开始我以为只是记录了个人卡号,心想反正盗刷了银行要赔 。查了一下才吓了一跳,根据PCI DSS(第三方支付行业数据安全标准) ,CVV2 属于不允许存储的“敏感数据 ”。更重要的是,敏感资料泄露,就是一系列不安全的开始。

  在网站上需要输入CVV ,古镇曹一村书记侯佳恒和存储CVV是两个概念 。有些信息可以存 ,有些信息无论如何也不能存,携程存了“无论如何也不该存的CVV”,这相当于把你信用卡的密码存储并泄露了。汽车之家创始人兼总裁李想表示 ,“这时候还帮着携程说话的,就是典型的被卖了还帮着数钱的。”

  更滑稽的是,曝光后微信公共账号却一度禁止发出相关消息 ,不知道这是携程的推动,还是招行的推动?我只想说,这种危机公关弱智之极 。

  像许多网友一样 ,我也在大周末被迫紧急换卡了。虽然招行是免费换卡(据说广发收30块挂失费+15元补卡费),电话占线不说,给早已习惯了刷卡消费的我带来很多不便。为自己代言 ,每个用户都有表达自己感受的权利 。

  【网络支付遭遇信任危机】

  除了事件性质严重之外,携程轻描淡写的态度也令不少用户愤怒 。

  “经查,这是携程旅行网在技术调试过程中 ,出现了短时漏洞。消息发布后 ,携程立即展开技术排查,并在两小时内修复了这个漏洞。据携程排查,除了漏洞发现人做了少量的测试下载并已全部删除外 ,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响 。

  事件发生后 ,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。携程郑重承诺 ,未来,倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。携程旅行网一贯对信息安全非常重视 ,为了更好地保障用户及网站的安全,将广邀信息安全卫士,一起来加固系统信息安全 。上周 ,携程已建立安全应急响应中心 ,并设立了信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。 ”

  古镇曹一村书记侯佳恒说,“携程这就是废话 ,因为根本无法判断是否是被盗用的,他肯定让用户自己举证!负责任的做法是,携程直接与所有涉及的银行沟通 ,所有涉及卡片全部重做、下发。”

  网友古镇曹一村书记侯佳恒更言辞激烈地在微博上表示,“应该对携程巨额罚款,为什么要保存不应该保存的信用卡信息?每次订房携程明确告知我不会保存的 ,这种骗人的商家就不应该让它存在,直接叫它破产干净!”

  在线旅行老大都这么干,那支付宝、微信支付 、其它第三方支付呢?这么搞 ,破坏的是整个产业的公信力 。严肃地说,也让前一阵央行紧急叫停部分网络支付有了现实理由。

  诚如李想所言,“存储了用户信用卡的CVV ,还泄露了。前一个是企业的基本道德问题 ,后一个是安全问题 。 ”

  作为在线旅行老大,作为一个老牌蓝筹股,我希望携程真正反思道歉 ,用负责任的态度确保用户安全,并向所有换卡用户补偿,为行业做出表率。

  【他山之石:国外“法律重罚+两大招 ”】

  有网友说:“令人不安的是 ,携程漏洞也许不是偶然的事情,是黑客搞到数据才被曝光的。那么,到底还有多少数据是已被黑客拿到了但我们不知道的呢?”

  资深互联网安全人士Roy Li表示 ,整体上中国网民的安全意识还处在上世纪水平,很多用户上网时,并不会较真网站声明 ,而采取了默认的信任 。而在国外,只要涉及敏感用户隐私的网站,都需要一个非常复杂的声明:声称绝不会存储不该存储的信息 ,也不会向用户询问隐私信息(反诈骗提醒) 。

  在国外身份窃取或信用卡诈骗是联邦重罪 , 为了预防和打击犯罪,信用卡公司和金融机构每年投入大量经费,联合治理网络支付安全。其中最著名的是 PCI-DSS compliance和信用卡3D验证 ,其中PCI是预防信息泄露,3D是防止盗取信息者牟利。

  携程这个接口属于站内支付,管理支付网站安全的国际标准就是PCI compliance 。PCI就是Payment Card Industry ,DSS就是data storage security。PCI标准要求非常高,需要实时更新。提供PCI验证服务的公司,通常会多方面地地毯式扫描找出各类漏洞 ,还要网站在申请时严格申明“不能保存不该存的信息,以及不可以不使用 SSL 加密数据传输(避免数据嗅探)” 。

  3D验证则在不同国家有不同做法,多数是通过大数据检验你是否是在常用设备和IP上登录 ,以及行为是否正常。如果不是弹一个小窗,需要输入更隐私的信息,可以是密码保护问题 ,也可能是生日 ,社会保险号等,目的是验证使用者确实是你。举个例子,盗取Paypal的黑客即便是在被盗用户自己的机器上都有可能在提现时被锁号 。

  以上两“大招 ”加起来是否能完全避免信息泄露的损失呢?Roy Li认为 ,“当然这也做不到100%绝对安全,但至少体现了一种态度。国内大多数公司平常不把安全落实到实处,得过且过 ,等出了问题才修复和危机公关。”

  “我相信携程有能力做到完全PCI compliance 并时刻更新,也能把网络安全措施做到国际水准,但是它却没有 。在一个连地沟油 、毒奶粉都没有FDA这样严格标准监管的地方 ,PCI确实不是一个性价比高的东西,还不如花点钱多投点广告来点流量更实际。”Roy Li说。

  中国互联网互骂互殴是常态,古镇曹一村书记侯佳恒网民出了事第一反应是“狗咬狗 ” 。在移动互联网狂野爆发、移动支付如火如荼的今天 ,这种恶性泄露事件,更是一记重拳 。网民经不起这样的折腾了!请向国际标准看齐,请拿出态度重塑信任。

  古镇曹一村书记侯佳恒请携程们流淌一点道德的血液。至少为了你自己的生意 ,也为了所有网民 。

相关标签: # 携程 # 一村 # 安全 # 用户 # 信息

 暂无评论,快来抢沙发吧~

发布评论