携程漏洞后续:三大恐慌远超实际危害
时间:2014-07-03 13:41:45 来源: 互联网 复制分享
3月22日携程出现重大安全漏洞,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露 (包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。尽管漏洞仅持续了两个多小时,不过事件引发的恐慌仍在持续。目前看来,该漏洞引发的担忧和愤怒大大超过了漏洞造成的实际危害本身。
恐慌远超实际影响
根据携程官方的说法,目前并没有监测到有用户出现信用卡被盗刷现象,且该漏洞仅影响到了93名用户,携程已经通过电话通知用户更换信用卡,并给予每人500元礼品卡作为补偿。
同时携程承诺若发生盗刷,携程将赔偿用户损失。
国内顶级白帽安全团队Keen Team的安全专家表示,被泄露的日志也并不像传闻所说的不安全,在安全支付日志中被错误记录的用户敏感信息,包括信用卡号、信用卡有效期、信用卡CVV三位验证码是经过AES加密后存储在安全日志中的。在加密密钥没有对外泄露的情况下,AES的加密强度足以抵御来自民间的解密尝试,加密处理过的用户信息在一定程度上还是得到保障的。
按照上述解释,本次漏洞虽然听上去惊悚,但是实际影响是:1、只有3月21-22日消费的93名用户受影响;2、携程将承担用户损失;3、被泄露的日志也很难被黑客利用。
不过用户的负面情绪并没有因为这些解释而有所缓和,直到携程发出解释后,多家银行的客服电话仍然被打爆,有用户甚至愤怒得剪毁了绑定的银行卡,有用户在携程官方微博中评论道,此事的重点不在于漏洞,而在于违法存储用户信息,而500元赔偿的行为也被指避重就轻。
相比起实际损失,该事件引发的三大恐慌更为令人担忧。
一、PCI DSS认证形同虚设?
PCI DSS即第三方支付行业(支付卡行业PCI)数据安全标准,该标准由VISA和MasterCard等机构牵头制定,支付公司都会被要求通过这一安全认证。这一标准规定CVV、追踪数据、磁条或PIN数据等特定信用卡信息不能被商户保存。
携程作为上市公司,在上市时应通过了这一安全认证,不过此次泄露的日志却显示携程明文记录了这些信息。
一名安全行业资深人士表示,PCI DSS含金量越来越低,通过认证后去把标准认真落地的公司越来越少,通过PCI DSS更像是花钱买了一个牌照,并不说明任何问题。
这一说法影射了整个支付安全行业的安全问题——这次暴露问题的是携程,其他通过PCI DSS标准的公司甚至上市公司是否存在同样的问题?用户的信用卡敏感信息被多少公司记录着?下一家会是谁?
若PCI DSS标准缺乏管束力,通过这一标准并不意味着安全,那么其他与支付业务直接相关的公司也将受到一定的信任危机。
二、给央行扼杀在线支付提供口实?
此次携程漏洞出现的时间相当微妙,就在本月央行紧急发文暂停线下二维码支付、虚拟信用卡等面对面支付服务,尽管央行的说法是出于安全考虑,不过更多人愿意相信是移动支付动了银联的奶酪。
而携程这一漏洞的出现恰逢其时地证明了在线支付的风险,有相关技术人士透露,此次泄露是因为无线部门在手机APP调试过程中保存了日志并在Web.config开了目录遍历,也就是说问题出在移动端,所以客观上这一事件的发生可以给央行封杀移动支付提供口实。
尽管这一说法有阴谋论嫌疑,不过两起本无关联的事件引发的用户担忧或影响到移动支付本身的发展。
三、绑定信用卡危机?
尽管此前就有用户担忧过在移动支付产品中绑定银行卡或信用卡是否存在安全风险,不过由于腾讯和阿里的大力推进,用户的这一疑虑正在消除。
事实上微信支付和支付宝也并未发生过用户银行卡信息大规模泄露事件,此前央视对支付宝的质疑在支付宝数次回应后影响力也逐渐被抵消。
不过这次携程的漏洞直接牵涉到了用户的银行卡安全,《风声》的导演高群书发微博称“坚持不用网银,不绑定信用卡,是十分正确的。”
相对于已经习惯在线支付和移动支付的用户,此前不敢尝试或抱犹豫态度的用户是受到这一影响的主要人群,携程的事件给了他们足够的理由拒绝绑定信用卡或使用在线支付。
总而言之,携程此次漏洞事件本身的危害其实相当有限,而媒体大规模曝光、用户的广泛传播引发的恐慌以及连带效应远远超过了这一事件本身,事件持续仅两个小时,而要消除影响需要的时间则远不止两个月。
7月28日消息 百度周四发布了该公司截至2017年6月30日的第二季度未经审计财报。财报显示,百度第二季度总营收为人民币208.74亿元(约合30.79亿美元),同比增长14.3%;净利润为人...【详细】
在6月9日开始的美国五大科技股两连跌大潮中,苹果公司股价一个交易日就下跌了6.01美元,市值也跌破了8000亿美元。在此之后,苹果的股价“萎靡”了一段时间,直到7月6日才开始迎...【详细】
7月28日消息 据路透社报道,Facebook的市值周四盘中首次突破5000亿美元。在周四早盘的交易中,Facebook股价大涨近6%,增加的市值相当于Twitter市值的两倍,后者为122亿美元...【详细】
北京时间7月28日凌晨金融时报消息,,尽管净销售额优于预期乐观,但其盈利却远逊于预期,这使得这家电子商务巨头的股价在盘后交易中持续走低,跌去3.9%。 财报数据显示二季度...【详细】
7月26日下午三点,小米新品发布会正在国家会议中心举行。整个会场尖叫声和呐喊声此起彼伏,声量远超一般科技新品发布会,甚至会场的喧嚣还超过了之前小米年度旗舰小米手机6的...【详细】
7月27日消息 近日,腾讯云发布了第三代云服务器,新服务器CPU采用Intel Xeon Skylake处理器,最高睿频可高达3.7GHz,搭配六通道DDR4内存,比上一代内存带宽提升60%。目前该产品...【详细】
谷歌证实:YouTube Red将和Google Play Music合并
7月27日消息 据外媒BetaNews报道,Youtube音乐的负责人Lyor Cohen日前已经证实,Google Play Music和Youtube Red将会合并。在纽约的一个研讨会上,该负责人表示,谷歌将创建一...【详细】
感谢IT之家网友◆◇ヽ喏唁的线索投递 7月27日消息 在微信朋友圈越来越成为人们主要的社交阵地的当下,QQ空间可能已经被很多用户逐渐淡忘了。而目前关于QQ空间的一条...【详细】
IT之家7月27日消息 据潇湘晨报报道,近日,浏阳小伙邓日耀用黑白电视养起了金鱼,使得原本只有黑白双色的小小“世界”,变得缤纷多彩起来。 邓日耀平时爱好美术、设计、手...【详细】
今日,中国电信第九届“天翼智能生态博览会”正式在广州拉开帷幕。据悉,此次大会主要聚焦智慧家庭、云和大数据、互联网金融、全网通智能终端、产业互联网等热门领域。 ...【详细】
ChinaJoy 2017索尼发布会汇总:《真三国无双8》领衔众大作登陆国行
ChinaJoy索尼发布会在今天下午举行,在会上公布了包括《真三国无双8》中文版,《NBA 2K18》国行版、《大圣归来》PS4游戏等众多激动人心的作品。那就跟随本文一起来看看吧。...【详细】
感谢IT之家网友帥科、梦里醒来不是梦丶的线索投递 7月26日消息 今天晚上,微信公众平台宣布,为保证良好的用户体验,方便开发者将小程序、公众号和App之间的用户信息进行...【详细】
亚马逊飞速上涨的市值迎来一里程碑时刻,截至周三收盘,这家电子商务巨头的市值首次突破5000亿美元大关。 去年底亚马逊的市值为1463亿美元,半年多时间飙涨到如今的5026亿...【详细】
感谢IT之家网友炫酷的腿毛的线索投递 7月27日消息 如今共享单车非常火爆,好多人都想分一杯美羹。近日有网友发现,四川广安街头惊现名为UFO的共享单车,如果不仔细看的话,...【详细】
7月27日消息 酷派集团公告称,公司于近日接到平安银行股份有限公司深圳分行诉本公司附属公司宇龙计算机通信科技(深圳)有限公司(借款人)、本集团的两家附属公司及本公司单一...【详细】
7月26日消息 网约车平台易到今天宣布完成支付体系再升级,在原有支付功能基础上上线直付功能。易到用户除充值余额消费外,可直接用微信、支付宝等方式支付车费。 据介...【详细】
感谢IT之家网友林凌灵的线索投递 7月26日消息 近日,腾讯信用联合摩拜单车发起了”腾讯信用送月卡,免费骑行30天“活动,摩拜单车用户可以通过这个活动免费获取摩拜单车...【详细】
感谢IT之家网友星空凜的线索投递 出于安全方面的考虑,我国已于2017年6月1日起对质量250克以上的无人机实施实名制。现在,英国政府也做出了类似举措。 据外媒mashabl...【详细】
在2015年10月,笔者曾发表过《》一文,而时隔2年后,态势越来越严峻。可以说凭借成为互联网基础设施的背景和掌控庞大的现金储备,崛起的阿里和腾讯已经成为互联网的双极,互联网...【详细】
7月26日消息 根据IT之家此前的报道,近日有多名乐视员工和前员工的建设银行信用卡额度被调至1元,针对此事,建设银行今天上午回应称,目前,对于经核实资信良好的客户,信用卡中心...【详细】
- 百度第二季度净利润6.51亿美元 同比猛增82.9%(2017-07-28)
- 扭转颓势:苹果市值重回8000亿美元大关(2017-07-28)
- 小扎笑了:Facebook市值首次突破5000亿美元(2017-07-28)
- 屁股还没坐热乎:亚马逊股价下挫 贝佐斯又丢首富宝座(2017-07-28)
- 手机新品太多 当红明星都不够用了(2017-07-28)
- 腾讯云服务器CVM新购促销活动 +15元送域名(2017-07-27)
- 谷歌证实:YouTube Red将和Google Play Music合并(2017-07-27)
- 腾讯QQ空间黄钻LV9体验活动曝光:新增四大“逆天”特权(2017-07-27)
- 黑白电视养金鱼:简单的双色世界 就是要玩出彩(2017-07-27)
- 中国电信4G基站数量超百万:稳坐全球最大FDD运营商(2017-07-27)