您现在的位置:首页 >> 滚动 >> 正文
携程漏洞曝光之后:对话当事白帽黑客
发表时间:2014年3月24日 07:01 来源:新浪科技 责任编辑:编 辑:麒麟

多家提供在线支付的服务商也对新浪科技表示,在实际操作中会根据相关规定,不会对用户的相关信息违规存储。与CVV相比,另一个让携程面临指责的英文缩写是PCI。

PCI,在金融业内通常代指支付卡行业数据安全标准,即PCI-DSS(Payment Card Industry Data Security Standard)。制定PCI目的是为了优化信用卡,借记卡和现金卡交易的安全,保护持卡人的个人信息,已防被他人利用。

在此次泄露事件中,有人指责携程不具备符合PCI标准的资质,并将此归因于携程在流程上出问题的原因。VeryCD创始人戴云杰就公开质疑携程:CVV2属于不应存储的敏感数据。而有获得PCI资质的携程同行告诉新浪科技,这个资质申请并不容易,能通过也要耗时一年。

携程究竟有没有PCI资质呢?官方给出的回应是:携程的做法,符合PCI-DSS规定。携程将进一步严格按照PCI-DSS的监管要求执行。

93通电话与1个用户

当然关于PCI的讨论并不是当务之急,也有获得PCI资质也同样出事的反例。对于普通用户而言,最核心的问题是:我究竟安不安全?

详细信息披露的缺乏,让规模庞大的携程用户群体惴惴不安。官方的说法是:“经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户”。携程将在23日逐个通知这93名用户,没有接到电话则表明“是安全的,无需担心”。

93这个规模,相对于携程只能算是极少数。一位22日在携程平台有过交易的用户对新浪科技表示,并没有收到来自携程方面的电话通知。然而和另几位近期有过携程交易的用户一样,他们都对个人信息的安全表达了深度的担忧,对携程的信任感也降至最低。

实际上,新浪科技取得联系的携程用户中,大部分已经采取了换卡的处理方式。

好消息是截至目前,还没有公开的信息显示有携程用户因为这一漏洞遭遇损失。而不好的消息是,携程信息泄露的情况,或许在更早之前已经造成伤害。

广西易搜科技CEO严茂军就是一个案例。按照这位携程钻石卡会员的描述,今年2月25日一早,他的手机相继出现多条信用卡消费的短信提示,有的以美元结算、有的以英镑结算、有的以欧元结算,这几笔扣款合计金额不到人民币两万元。

几番追究之后,严茂军把怀疑对象锁定在携程身上,据他的描述只有和携程账号绑定的三张信用卡,在2月25日那天出现了十几笔盗刷外币的事件,而其另外的三张信用卡则相安无事。不过严茂军所提出的质疑,没有其他更为严密的证据能够证明,也很难让携程就此承认。

“我是这几家银行白金客户,拥有72小时赔付,如果不是我的责任被盗刷,我无须自己支付,由白金保险承担”,在与新浪科技沟通时严茂军说携程的安全漏洞或许成为银行的借口,他担心一旦出现问题会有很多非白金的用户需要自行承担损失。

一位银行业内人士也对新浪科技表示,出现盗刷其实很难追究责任。

对话白帽黑客猪猪侠

出现与信用卡有关的漏洞,自然会联想到与黑客有关的地下产业链。

网上关于黑客以及黑客背后暴利生意的报道,多年以来一直广为流传。国内外与黑客有关的信息盗取事件也层出不穷,例如2011年12月中国最大程序员网站CSDN报案称遭遇黑客攻击、600余万用户信息被泄露;去年12月,美国第三大零售商Target的4000万顾客信用卡数据被盗。

知名互联网信息安全专家sunwear在新浪微博中表示,黑客圈做信用卡产业很成熟,欧美台日等都是黑客的目标,很多网站都会储存信用卡的卡号、CVV、到期日等信息,渠道太多携程只是冰山一角,虽然很多数据是加密或隐藏信息但不一定好使。

[1]  [2]  [3]  
关于我们 | 联系我们 | 友情链接
新科技网络【京ICP备14006744号】
Copyright © 2014 Hnetn.com, All Right Reserved
版权所有 新科技网络
本站郑重声明:本站所载文章、数据仅供参考,使用前请核实,风险自负。