携程泄露门：危险擦边球擦出的火花-国土报中文版

本篇文章3908字，读完约10分钟

季老师(嘉宾):大家好，，大家好。我是老纪，我很高兴与大家分享我的一些科技观点和经验。

最近，一场“泄密风暴”悄然而至，像飓风一样席卷了整个互联网圈。这场风暴的源头来自携程。其系统存在技术漏洞，可能导致用户的个人信息和银行卡信息被黑客泄露和读取。事实上，中国的网络圈以前也发生过很多安全漏洞事件，所以人们不禁要问，这个互联网国家是否有“隐私”。今天，老纪将盘点近几年互联网的“漏洞”，并向我们解释是谁在窃取你的隐私。

携程泄露门：危险擦边球擦出的火花

刘玉:我认为我们应该先听老纪介绍携程网泄密的时间，并对中国近年来的网络泄密进行评估，然后了解互联网泄密是如何发生的，这些所谓的“漏洞”是什么？这样我们就可以了解互联网的安全程度，以及如何更好地保护我们自己的互联网信息。

老吉，我们先谈谈携程的漏洞吧。泄漏是怎么发生的？

老吉:3月22日晚，携程暴露出重大安全漏洞，可能导致用户信用卡信息泄露。据吴云说。携程网是一个专业的漏洞报告平台，携程网的安全支付日志可以被下载，导致用户银行卡信息(包括持卡人姓名、身份证、银行卡卡号、卡cvv码和6位数卡pin)的泄露。此外，携程还透露，一个变电站的源代码包可以直接下载！对此漏洞的普遍理解是携程在本地保存银行卡数据包，支付日志中存在安全漏洞，陌生人可以下载数据信息。众所周知，携程是中国在线旅游业的领导者，这个市值超过60亿美元的海外上市公司拥有数千万用户。因此，油炸锅一下子就上了互联网。

携程泄露门：危险擦边球擦出的火花

刘玉:携程为什么要保存用户的银行卡信息？为什么支付日志有安全漏洞？

老吉:携程已经做了很多年了。公平地说，携程这样做并非出于恶意，而是模仿外国信用卡支付方式来简化支付流程。然而，这种做法在中国必然会受到冲击，因为根据银联的规定，接收终端不得存储银行卡的跟踪信息、卡验证码、个人识别码(pin)和卡的到期日期。早在2010年，携程就与多家银行就无卡支付服务(简称cnp交易)达成了协议。根据协议，如果用户的信用卡是第一次在携程网上使用，在支付生效之前，客户需要提供信用卡授权所需的所有信息。如果客户在携程网上使用了此信用卡。并同意携程。为了方便下次预订，携程网应保留其信用卡号、到期日等信息。在进行下一次预订时，只需提供存储的信用卡号的最后4位数字。com将根据最初保存在系统中的信用卡授权信息执行支付步骤。出于安全原因，携程将要求客户提供额外的cvv代码进行验证。这种支付方式类似于亚马逊的“一键式支付”。用户第一次使用时只需将信用卡信息绑定到亚马逊账户，然后就可以直接购买和支付，无需输入密码。一键式支付有自己的安全验证系统，其中一个重要的方法是匹配接收地址，也就是说，如果有人窃取你的信用卡信息进行购买，最终的商品仍然会发送给你，否则他必须在更改地址时重新提交信用卡信息。回到携程网，因为机票和假期等产品都是实名产品，如果携程网的信用卡被盗，可以直接追溯到实际消费者。

携程泄露门：危险擦边球擦出的火花

刘玉:除了携程，其他网站都是这样运营的吗？

老纪:据我所知，国内大多数电子商务网站都是这样运作的。

刘玉:事件发生后，特别是曝光后，携程如何处理公共关系？

老纪:公关反应基本合格。新浪科技22日晚8点37分砸开了携程的防盗门。当然，一些小网站传播较早。9点44分，也就是一个小时后，携程在官方微博上回应称，已经弥补了漏洞，没有用户受到漏洞的影响，并表示将对提供漏洞信息的人给予重奖。

23日上午，携程在微博上正式发表声明，就此事件向用户道歉。同时，为了更好地保护网站的安全，携程还希望信息安全卫士们能够共同努力，加强系统信息的安全性。因此，在这个过程中，我们可以看到携程很好的利用了新浪微博，对用户起到了安抚的作用。

刘玉:让我们来看看近年来中国互联网上类似事件的简要清单。首先，2011年12月，csdn的安全系统遭到黑客攻击，600万用户的登录名、密码和邮箱被泄露。老纪，让我给你介绍一下。

老吉:csdn是中国最大的开发者社区。2011年12月21日，一名黑客在互联网上发布了csdn网站用户数据库，其中包括600多万个注册的明文电子邮件账户和密码。这些密码在后台没有被再次加密，普通人只要下载就可以理解，并且可以直接通过别人的账户登录。这件事引起了整个行业和亿万网民的关注。

刘玉:那么是谁在窃取和泄露这些数据库呢？

老纪:据警方称，2011年12月22日，北京警方接到了csdn公司的举报，称其服务器被入侵，核心数据被泄露。市公安局网络安全总队立即与有关部门成立了工作组。经过仔细比较，工作队发现，大部分泄漏的数据集中在2009年7月至2010年7月。因此，推测csdn服务器在2010年7月前被入侵。经过大量的调查和访问，工作队获得了四条重要线索，涉及海南、广东、江苏和浙江。最后，他在2010年9月发布了一篇文章，披露了他对csdn数据库的掌握，并要求一位与该公司合作的用户进入工作组的视野。随后，在相关部门的配合下，专案组于2012年2月4日在浙江省温州市控制了犯罪嫌疑人曾。曾承认，2010年4月，他利用csdn网站的漏洞非法入侵服务器获取用户数据。此外，他还承认入侵了充值平台和股票系统。

携程泄露门：危险擦边球擦出的火花

刘玉:2013年10月，如家快捷酒店和七天酒店等连锁酒店被互联网曝光，多达2000万客户开业信息被泄露。老纪会告诉你这件事的。

老焦:酒店委托的网络公司管理机制不完善，使用的酒店管理系统存在漏洞。客户信息数据同步认证的用户名和密码实际上是明文传输的，泄露的可能性不言而喻；另一方面，这个漏洞早在8月份就已经被发现和证实，但到目前为止，大多数酒店还没有公开回应，公众对此充满失望和疑虑。

刘玉:也许最著名的隐私泄露事件是美国的棱镜门事件。

老吉:是的，斯诺登爆料了:“棱镜”窃听计划始于2007年的小布什。美国情报机构一直在9家美国互联网公司从事数据挖掘工作，包括两个秘密监控项目:监控、监控人们的电话通话记录和监控人们的网络活动。在被曝光的九家公司中，谷歌、雅虎、微软、苹果、facebook、美国在线、youtube等知名互联网公司。

刘玉:这让很多普通人莫名其妙地卷入了所谓的“棱镜门”事件，所以我们不得不问:为什么这么多用户名和密码被盗？互联网上还有安全和隐私吗？我们的每一句话和每一条信息都被别人偷窥了吗？个人窃取他人账户和密码的意图是什么？

老纪:我们应该从两个方面来看这个问题。首先，当你开始在互联网上使用互联网服务时，你实际上放弃了你的部分隐私权。事实上，当我们下载和使用互联网软件或服务时，我们经常需要确认大量的声明，这实际上是放弃了我们的部分隐私权。因此，只要你在网上冲浪，你就必须为这个想法做好准备。当然，这些互联网信息服务提供商获得我们信任的原因是他们必须保守用户的秘密并采取更好的安全措施。当然，如果他们做不到，我们的用户只能用脚投票。如果给我们的用户造成损失，我们必须赔偿损失。至于“棱镜门”，这更多的是国家对国家的信息资源优势。由于互联网是美国人发明的，美国也有更强的技术优势，而且它实际上已经掌握了未来的发展方向。通过近期的马航事件，我们可以看到美国人在整个信息挖掘和整合方面比我们强得多。

携程泄露门：危险擦边球擦出的火花

刘玉:在谈了这么多事件之后，最后，我们如何避免网络安全风险？

老焦:作为一个普通的网民，只要互联网真的转移了一些隐私权，其实就没有多少事情可以做了。基本上，你只能在方便和安全之间找到平衡。你能做的就是把你自己。安全工作做得很好。例如，不同的网站使用不同的密码，但大脑更好；同时，在网上浏览信息或交易时，必须及时发布和删除相关信息；另外，中国的一些网站有一些木马程序，比如在弹出窗口中获奖，所以不要点击它们。目前，没有绝对的安全。为了绝对安全，它只能与互联网隔离，这显然是不可想象的。

携程泄露门：危险擦边球擦出的火花