携程"泄密门"给央行监管送上合理理由-国土报中文版

本篇文章2527字，读完约6分钟

由于他们从事互联网行业，周围的人对携程用户的银行卡泄露事件非常敏感。如果他们不怕一万，他们就怕一千。他们会在第一时间打电话给开证行，要求更换信用卡或挂失。可能是接入用户太多，招商银行客服电话也很忙。这是前所未有的。可以看出，这件事涉及广泛的问题。

这次是黑云漏洞平台暴露了携程的漏洞。据黑云漏洞平台22日发布的信息，“由于携程安全支付服务器处理用户支付的界面具有调试功能，用户支付记录以文本形式保存。同时，由于保存支付日志的服务器没有严格的基线安全配置，因此存在目录遍历漏洞，导致所有支付过程中的调试信息被任何黑客读取。”。

而这不是谣言或猜测，然后携程承认了漏洞的存在。

问题严重吗？

尽管黑云漏洞平台的措辞在报道时更专业，但消费者仍然理解“任何黑客都可以阅读”这句话，这也是恐慌的根源。那么，如何评估这次泄密的严重性呢？有四个基本判断:

首先，此次携程网泄漏不同于2012年的csdn泄漏。csdn泄漏是历史数据库泄漏，服务器被入侵。携程网的泄密不涉及数据卡被泄露的问题，只涉及被支付的数据。被黑客窃取的可能性；

然而，第二，携程的泄露比csdn更严重，因为csdn泄露的不是金融数据，而是网站上注册的电子邮件地址、用户名和密码，而携程泄露的是用户的银行卡信息，如携程持卡人的姓名和身份证、银行卡号码、卡的cvv码和6位数的卡箱，这也是许多用户急于更换信用卡的原因。因为现在的网上信用卡支付流程非常简单，比如在美国亚马逊网站海涛，注册用户输入信用卡号，甚至不用密码就可以成功消费cvv码。一旦相关信息被动，就有可能造成严重损失。据媒体报道，Ctrip.com会员在多次购买酒店或机票价格后，只需提供卡号和cvv2代码的最后四位数字，Ctrip.com将完成下一步支付操作；

携程"泄密门"给央行监管送上合理理由

第三，尽管只有曾经在Ctrip.com使用银行卡的用户可能会被泄露，但这一漏洞在Ctrip.com还存在多久还不清楚。携程称受此漏洞影响的用户为“近期内的一些交易客户”，但最近几天、几天、几个月或一年？

携程，携程！

事件发生后，携程在微博上表示“真诚地向用户道歉”，称该漏洞已被修复，并承诺愿意赔偿未来因安全漏洞造成的用户损失。然而，在这份“声明”中，泄露的一些细节含糊不清，缺乏直接面对的勇气。

例如，今年1月，一些媒体质疑携程的支付安全性。当时携程网明确回答:“携程网的后台不会记录用户的支付信息。”一开始是在撒谎，还是后来“变坏”了？携程为什么要存储用户的简历？用汽车之家创始人李翔的话来说，“在交易网站上存储cvv就相当于一个小时工偷偷匹配你家的钥匙。”同时，他也知道关于你家的所有信息。存储用户信用卡的cvv也泄露了。前者是企业的基本道德问题，后者是安全问题。”

携程"泄密门"给央行监管送上合理理由

“有些信息可以保存，有些信息无论如何也不能保存。携程已经保存了cvv，但无论如何都不应该保存，这相当于存储和泄露了你的信用卡密码。需要输入cvv和存储cvv是两个概念。这时候，我还帮携程说话，这是典型的被卖和帮忙数钱。”

另一个例子是，即使保存了用户信息，为什么要以明文形式存储？2012年的csdn泄露引起了广泛的反思，即网站不应以明文形式存储用户密码信息。因此，北京市有关部门甚至对中国移动通信网络运营商提出了具体的整改要求，并进行了行政警告和处罚。这个教训是如此的严重，以致携程很快又犯了这个错误。

关于如何在用户支付过程中保护用户信息，国内外有多种相关标准，pci-dss(第三方支付行业数据安全标准)是世界上最权威的标准。加入该标准的企业必须接受严格的年度安全评估，并每季度接受pci认证要求的asv漏洞扫描。然而，在中国只有少数网站积极开展这一认证。去年年底，有媒体报道称在携程网上找不到pci-dss认证标志。

携程"泄密门"给央行监管送上合理理由

当他们想睡觉时，中央银行会送他们枕头

行业巨头和上市公司携程在安全问题上犯了如此低级的错误。只能说用户的利益没有放在第一位，这也反映了中国互联网行业整体安全意识薄弱的现状。存储用户支付信息，以明文形式保存用户密码...这些网站在进行这些不规则的操作时可能不会有坏的想法，但它们中的许多只是为了提供更简单的流程，并以表面上更好的体验留住用户(“携程在手，如你所说的离开”)，从而在竞争中获得领先地位，但本质上，它们是以用户的网络安全为代价的。

携程"泄密门"给央行监管送上合理理由