攜程“漏洞”又叩安全門
金融最大的隱患是什么?安全。3月22日18時18分,漏洞報(bào)告平臺烏云曝光了攜程支付日志存在安全漏洞,用戶銀行卡信息可被黑客任意讀取。恰逢傳統(tǒng)金融業(yè)與互聯(lián)網(wǎng)金融激烈博弈之際,攜程支付信息漏洞事件也再次拷問了網(wǎng)絡(luò)支付的安全問題。
2011年的“CSDN泄密門”,導(dǎo)致大量網(wǎng)民受到隱私泄露的威脅,事件影響已經(jīng)超出社交網(wǎng)站的范疇,蔓延至電子商務(wù)和銀行業(yè)。網(wǎng)站不應(yīng)該用明文存儲用戶密碼信息,早應(yīng)該成為血的教訓(xùn),也基本上是業(yè)內(nèi)同行的規(guī)則。
而在互聯(lián)網(wǎng)金融快速發(fā)展的三年后,支付安全問題則更加引人關(guān)注。因?yàn)樵诰€旅游行業(yè)是國內(nèi)最早在機(jī)票和酒店領(lǐng)域?qū)崿F(xiàn)信用卡預(yù)授權(quán)的行業(yè),在支付寶和微信支付風(fēng)靡之前,在線旅游行業(yè)幾乎全部的機(jī)票、部分酒店、旅游度假以及其他更多類型產(chǎn)品,都需要在線支付。
攜程此次受到質(zhì)疑的主要問題,其實(shí)不是在于安全漏洞這么簡單,更重要是支付日志的存在。目前網(wǎng)站針對CVV碼的普遍做法,是暫存但不保留:用戶在商戶提交信用卡支付成功后,商戶必須立即將CVV碼信息刪除;若提交信用卡支付未成功,商戶可以將CVV碼信息保存7天后清除。但這些規(guī)定攜程卻并沒有嚴(yán)格遵守,所以才有了這次的信息外泄事件。
攜程什么時候開始有這種日志打印?覆蓋了多少客戶的敏感信息?通過審計(jì)統(tǒng)計(jì)有多少人對這些文件進(jìn)行了訪問?能被一個人發(fā)現(xiàn)的問題,極有可能也被更多的人發(fā)現(xiàn)。系統(tǒng)日志中有信息又未及時清理,所存儲的服務(wù)器還有安全漏洞,網(wǎng)站一些表面為了用戶更方便的流程,實(shí)質(zhì)上卻是以犧牲用戶網(wǎng)絡(luò)安全為代價(jià)。
盡管和三年前的“CSDN泄密門”不同,這次其他網(wǎng)站并未暴露與攜程一樣的風(fēng)險(xiǎn),但大數(shù)據(jù)時代的網(wǎng)絡(luò)信息安全還是受到了拷問。對于已經(jīng)備受詰問的互聯(lián)網(wǎng)行業(yè)尤其是互聯(lián)網(wǎng)金融來說,在這個時點(diǎn)出現(xiàn)這樣的事件,并非是好消息。