携程“漏洞门”只是冰山一角

2014-07-09 06:24法人董毅智
法人 2014年4期
关键词:明文携程漏洞

文 《法人》特约撰稿 董毅智

携程“漏洞门”只是冰山一角

文 《法人》特约撰稿 董毅智

在网络支付技术层面存在漏洞和缺陷,是不可避免的,如果因此遭到泄密,用户还可以找到为他辩解的理由。但是涉及到存储用户信息、明文保存用户密码,这类不规范操作,这就事关网络企业道德底线,和用户对网络企业的信任

3月22日,漏洞报告平台乌云网披露了携程信息安全漏洞问题。

漏洞发现者称,携程开启了用户支付服务借口的调试功能,支付过程中的调试信息可被任意骇客读取,可能导致大量用户银行卡信息泄露 (包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。

事件发生后,携程方面在微博上“向用户诚恳道歉”,并称已在两小时内修复了这个漏洞,携程用户信息未受影响。

但在“申明”中,携程对泄密事件的细节却含糊其辞,没有直面错误的勇气。尽管漏洞仅持续了两个多小时就被修复,但事件引发的恐慌并未就此止住,携程泄密的“余波”还在回荡中,这则“可被任意骇客读取”的消息总是无法消除用户心中的疑虑。

“漏洞门”并非个案

类似携程的泄密事件绝非个例。2012年CSDN事件在前,两年后携程事件历史再现。只不过CSDN被泄密的部分是历史数据库,不是金融数据;此次携程泄密的是正在支付的数据,是用户的银行卡信息。所以,携程泄密的后果可能比CSDN泄密事件的后果要严重。

根据乌云平台及携程方面的神明,用户的个人支付信息,比如携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息都可能遭外泄。这也是为什么很多用户心急火燎地着急更换信用卡的原因所在。

在CSDN事件之后,无论是用户,还是网站平台,对于用户的个人信息安全问题,是互联网发展的硬伤。

最引起业内外广泛反思的,就是明文存储用户密码信息的问题。而且北京有关部门甚至还因此向CSDN网运营公司作出行政警告处罚。

携程可好,有了CSDN等多位前辈的前车之鉴,仍然无法成为“后事之师”。如此严重的教训后不过两年光景,携程在同一块石头上再次绊倒。

携程在手,说泄就泄

鱼与熊掌不可兼得,舍鱼而取熊掌也。便捷与安全不可兼得,舍安全而取便捷也。说起携程泄密时间的根本问题,只能说在利益选择问题上,携程“自私走一回”,最后“不留心”就被狠狠绊了一脚。

现在网络信用卡支付之所以发展迅速,与其异常简单的流程密不可分。比如之前有媒体报道,携程网会员如果多次购买支付酒店或机票价款后,只需提供卡号后四位及CVV2码,携程网就会完成下一次支付操作。

表面上看,携程是为了提升客户体验,简洁了流程,在竞争地位中获得优势。但实质上,这种优势却是以用户安全为代价换来的。

在携程事件中,被问到的问题最多的恐怕是携程为什么要“将用户支付的记录用文本保存了下来”。客观说来,在网络支付技术层面存在漏洞和缺陷,是不可避免的,如果因此遭到泄密,用户还可以找到辩解的理由。但是涉及到存储用户信息、明文保存用户密码,这类不规范操作,就事关网络企业道德底线和用户对网络企业的信任。

按照银联2008年发布的《银联卡收单机构账户信息安全管理标准》2.1条,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。携程存储用户信息,甚至明文保存用户密码的违规操作,显然已经涉嫌违法。

携程的广告语是“携程在手,说走就走”,可这“说泄密,就泄密”,将用户的安全和利益置于何地?虽说携程在操作中也许并没有存有邪念,但是放任的助长心态也多多少少反映出当前中国互联网界整体安全意识淡薄的现状。

网络安全,防君子不防小人

“棱镜!”这两个关乎所有互联网隐私泄密事件的字眼,一经公开,就在全世界范围内“炸开”,引起了世界范围内的广泛关注。作为事件的主角,美国中央情报局前雇员爱德华·斯诺登所透露出的很多信息,让世界各国当然也包括我国网络信息安全等产业堪忧!

据斯诺登称,自2007年的小布什时期开始,美国情报机构一直在九家美国互联网公司中进行数据挖掘工作。美国国家安全局也一直通过路由器等设备,监控中国网络和电脑。其中包括两个秘密监视项目:一是民众电话的通话记录;二是民众的网络活动。

爆料还称,大家所熟知的谷歌、facebook、skype、youtube等九大公司遭到参与间谍行为的指控。并且之后,facebook、微软两公司首次承认,美国政府确曾向它们索要用户数据,并公布了部分资料数据内容。

据传,就在携程泄密事件之后不久,有媒体称美国国家安全局曾经入侵到中国企业华为总部的服务器,并试图取得机密信息。

国际巨头华为也没能幸免于难,可见安全无小事,网络安全防不胜防。互联网信息安全的保护,就像是别墅周围的矮篱笆,只防坦荡荡的君子,防不了长戚戚的小人。

剑指泄密法律空白

用户作为消费者,是《消费者权益保护法》的保护对象。按照“消法”的规定,消费者在消费中享有安全权。这里的安全权不仅仅是指身体安全,也包括财产安全。

携程明文保存用户密码信息的违规操作,违反银联规定,将用户的安全置于危险之地,用户的损失与携程脱不了干系。希望携程的承诺“未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付”将会兑现,也不枉负用户的“一往信任”。

携程泄密事件,我们要做的不仅仅是眼睁睁看着用户信息安全在网络“黑洞”面前的无力和无奈。除此之外,在法律层面带给我们更多的是反思和警醒。关于用户信息安全,相关法律是否完善?网络安全中的刑事、行政、民事等各类法律关系能否界定?被泄密的用户损失如何界定?相关主体是否提供了公平、安全的行为准则?相关行业是否形成了相应的行业标准?司法机关对于相关类型的新型犯罪和纠纷,是否有了最起码的司法准绳?谁有责任向用户普及最基本的网络安全常识?

诸如此类的疑问,已经成为现时亟待回答的问题,这也已经足够给各个部门敲响维护用户信息安全的警钟。

携程的广告语是“携程在手,说走就走”,可这“说泄密,就泄密”,将用户的安全和利益置于何地?虽说携程在操作中也许并没有存有邪念,但是放任的助长心态也多多少少反映出当前中国互联网界整体安全意识淡薄的现状。

猜你喜欢
明文携程漏洞
漏洞
侦探推理游戏(二)
携程被批“捆绑销售”公司紧急整改
携程被批“捆绑销售”公司紧急整改
奇怪的处罚
携程被批“捆绑销售” 公司紧急整改
漏洞在哪儿
奇怪的处罚
奇怪的处罚