漏洞报告平台乌云前天晚上在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。并称已将细节通知厂商并且等待厂商处理中。
虽然影响比不上华为设备遭美国监听的事儿,但媒体的动作却放大了这件事情的负面效应,今天携程的股价也因此受到了轻微的影响。
有人说,携程上用过的信用卡都不安全了?其实这种描述非常不准确,容易引起不必要的恐慌,按乌云的描述,是从漏洞出现,直至22日晚上11点漏洞解决这段时间内,进行过支付交易的用户有潜在风险。目前携程官方的说法,是21日22日两天部分用户有影响。
有人说,我选择把信用卡和携程解绑了。这个真的没有必要,我再强调一次,按乌云的描述,是只有支付过程数据可能被非法获取。换句话说,携程网站本身目前来看是安全的,如果你在近期特别是21日22日两天内,未在携程上直接使用信用卡支付,那么是不受影响的。
有人说,如果面临风险,应该如何规避、降低风险?(1)如果你是携程21日22日的用户,换卡是最直接最安全的方式。(2)如果你不想换卡,或者无法确定自己是否面临风险,那么纯银联卡可以选择冻结卡。以我挂失卡片的经验来看,双币种卡如果只是冻结,只能阻止银联通道消费,可能无法阻止外币通道的消费。(3)调低或者关闭网上交易,选择每一笔交易都发送提醒短信,可以有效的帮助你控制风险。
有人说,虽然我不在携程公布受到影响范围内,但还是很担心怎么办?这是一个非常普遍的问题,但是永远没有必定的答案。但是我想告诉你,如果你不在范围内,还非常担心的携程的话,你也可以开始担心你身边的人。理论上他们有更大的几率以观赏你的钱包为名,记录下你信用卡相关资料并恶意消费。
有人说,我真的一点都没有安全感,虽然不在范围内,还是很纠结。这种人真的不少,昨天在某群里聊到携程,最多的网友就是不在携程公布影响范围内的用户,估计范围内客户都直接选择换卡了。我想说的是,银行还有发卡组织,也不是吃素的,他们会有自己的安全评估体系。例如,你突然在一个陌生地方消费,甚至是检测到你在网银上输入的速度超出平时范围等不正常的状况,都可能会有风险预警。
有人说,还可以继续信任携程么?我个人会继续使用携程,但是要我完全信任某个第三方,抱歉我做不到,过去就不。不过,携程在我眼中是相对可信的。由于工作的关系,我接触过不少公司和互联网公司的技术、信息安全团队。携程内部对信息安全的控制,在我见过的公司中,意识和重视程度在国内是很高的。
这次的事件,很多评论文章都没有提到PCI-DSS标准,其实通过这个简单的维度就可以判断哪篇评论靠谱,哪篇不靠谱。PCI-DSS是「第三方支付行业数据安全标准」,由VISA与MasterCard牵头制定。凡是要做第三方支付业务,想在美国上市,必须要过这个标准。而在PCI-DSS标准中,明确的定义了如何实施数据保护,以及哪些信息是可以保存,哪些信息是不能保存(尤其是明文保存)的(比如CVV等敏感信息)。因此携程这次是明确的违反了PCI-DSS的相关规定。
因为携程在上市的时候肯定是通过了PCI-DSS标准的,由此也可以看出一些安全标准从实施到维持是何等的艰难。而“安全标准”、“合规”的要求现在已经沦落为一门生意,含金量越来越低。实施PCI-DSS的安全公司可能会给客户提交一大堆文档,但真正认真去落地的公司越来越少了。所以通过了安全标准并不意味着什么,只是花钱买了个牌照而已。比如PCI-D