大洋新聞 時間: 2014-03-26來源: 信息時報 作者: 徐嵐
  金融最大的隱患是什麼?安全。3月22日18時18分,漏洞報告平臺烏雲曝光了攜程支付日誌存在安全漏洞,用戶銀行卡信息可被黑客任意讀取。恰逢傳統金融業與互聯網金融激烈博弈之際,攜程支付信息漏洞事件也再次拷問了網絡支付的安全問題。
  2011年的“CSDN泄密門”,導致大量網民受到隱私泄露的威脅,事件影響已經超出社交網站的範疇,蔓延至電子商務和銀行業。網站不應該用明文存儲用戶密碼信息,早應該成為血的教訓,也基本上是業內同行的規則。
  而在互聯網金融快速發展的三年後,支付安全問題則更加引人關註。因為在線旅游行業是國內最早在機票和酒店領域實現信用卡預授權的行業,在支付寶和微信支付風靡之前,在線旅游行業幾乎全部的機票、部分酒店、旅游度假以及其他更多類型產品,都需要在線支付。
  攜程此次受到質疑的主要問題,其實不是在於安全漏洞這麼簡單,更重要是支付日誌的存在。目前網站針對CVV碼的普遍做法,是暫存但不保留:用戶在商戶提交信用卡支付成功後,商戶必須立即將CVV碼信息刪除;若提交信用卡支付未成功,商戶可以將CVV碼信息保存7天后清除。但這些規定攜程卻並沒有嚴格遵守,所以才有了這次的信息外泄事件。
  攜程什麼時候開始有這種日誌打印?覆蓋了多少客戶的敏感信息?通過審計統計有多少人對這些文件進行了訪問?能被一個人發現的問題,極有可能也被更多的人發現。系統日誌中有信息又未及時清理,所存儲的服務器還有安全漏洞,網站一些錶面為了用戶更方便的流程,實質上卻是以犧牲用戶網絡安全為代價。
  儘管和三年前的“CSDN泄密門”不同,這次其他網站並未暴露與攜程一樣的風險,但大數據時代的網絡信息安全還是受到了拷問。對於已經備受詰問的互聯網行業尤其是互聯網金融來說,在這個時點出現這樣的事件,並非是好消息。
  信息時報記者 徐嵐
    (原標題:攜程“漏洞”又叩安全門)
創作者介紹

fd21fdkqaa 發表在 痞客邦 PIXNET 留言(0) 人氣()