专栏首页安恒信息携程漏洞后续:三大恐慌远超实际危害

携程漏洞后续:三大恐慌远超实际危害

3月22日携程出现重大安全漏洞,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露 (包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。尽管漏洞仅持续了两个多小时,不过事件引发的恐慌仍在持续。目前看来,该漏洞引发的担忧和愤怒大大超过了漏洞造成的实际危害本身。

恐慌远超实际影响

根据携程官方的说法,目前并没有监测到有用户出现信用卡被盗刷现象,且该漏洞仅影响到了93名用户,携程已经通过电话通知用户更换信用卡,并给予每人500元礼品卡作为补偿。

同时携程承诺若发生盗刷,携程将赔偿用户损失。

国内顶级白帽安全团队Keen Team的安全专家表示,被泄露的日志也并不像传闻所说的不安全,在安全支付日志中被错误记录的用户敏感信息,包括信用卡号、信用卡有效期、信用卡CVV三位验证码是经过AES加密后存储在安全日志中的。在加密密钥没有对外泄露的情况下,AES的加密强度足以抵御来自民间的解密尝试,加密处理过的用户信息在一定程度上还是得到保障的。

按照上述解释,本次漏洞虽然听上去惊悚,但是实际影响是:1、只有3月21-22日消费的93名用户受影响;2、携程将承担用户损失;3、被泄露的日志也很难被黑客利用。

不过用户的负面情绪并没有因为这些解释而有所缓和,直到携程发出解释后,多家银行的客服电话仍然被打爆,有用户甚至愤怒得剪毁了绑定的银行卡,有用户在携程官方微博中评论道,此事的重点不在于漏洞,而在于违法存储用户信息,而500元赔偿的行为也被指避重就轻。

相比起实际损失,该事件引发的三大恐慌更为令人担忧。

一、PCI DSS认证形同虚设?

PCI DSS即第三方支付行业(支付卡行业PCI)数据安全标准,该标准由VISA和MasterCard等机构牵头制定,支付公司都会被要求通过这一安全认证。这一标准规定CVV、追踪数据、磁条或PIN数据等特定信用卡信息不能被商户保存。

携程作为上市公司,在上市时应通过了这一安全认证,不过此次泄露的日志却显示携程明文记录了这些信息。

一名安全行业资深人士表示,PCI DSS含金量越来越低,通过认证后去把标准认真落地的公司越来越少,通过PCI DSS更像是花钱买了一个牌照,并不说明任何问题。

这一说法影射了整个支付安全行业的安全问题——这次暴露问题的是携程,其他通过PCI DSS标准的公司甚至上市公司是否存在同样的问题?用户的信用卡敏感信息被多少公司记录着?下一家会是谁?

若PCI DSS标准缺乏管束力,通过这一标准并不意味着安全,那么其他与支付业务直接相关的公司也将受到一定的信任危机。

二、给央行扼杀在线支付提供口实?

此次携程漏洞出现的时间相当微妙,就在本月央行紧急发文暂停线下二维码支付、虚拟信用卡等面对面支付服务,尽管央行的说法是出于安全考虑,不过更多人愿意相信是移动支付动了银联的奶酪。

而携程这一漏洞的出现恰逢其时地证明了在线支付的风险,有相关技术人士透露,此次泄露是因为无线部门在手机APP调试过程中保存了日志并在Web.config开了目录遍历,也就是说问题出在移动端,所以客观上这一事件的发生可以给央行封杀移动支付提供口实。

尽管这一说法有阴谋论嫌疑,不过两起本无关联的事件引发的用户担忧或影响到移动支付本身的发展。

三、绑定信用卡危机?

尽管此前就有用户担忧过在移动支付产品中绑定银行卡或信用卡是否存在安全风险,不过由于腾讯和阿里的大力推进,用户的这一疑虑正在消除。

事实上微信支付和支付宝也并未发生过用户银行卡信息大规模泄露事件,此前央视对支付宝的质疑在支付宝数次回应后影响力也逐渐被抵消。

不过这次携程的漏洞直接牵涉到了用户的银行卡安全,《风声》的导演高群书发微博称“坚持不用网银,不绑定信用卡,是十分正确的。”

相对于已经习惯在线支付和移动支付的用户,此前不敢尝试或抱犹豫态度的用户是受到这一影响的主要人群,携程的事件给了他们足够的理由拒绝绑定信用卡或使用在线支付。

总而言之,携程此次漏洞事件本身的危害其实相当有限,而媒体大规模曝光、用户的广泛传播引发的恐慌以及连带效应远远超过了这一事件本身,事件持续仅两个小时,而要消除影响需要的时间则远不止两个月。

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-03-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 携程曝重大安全漏洞 客户信用卡信息或遭泄露

    3月22日,乌云平台连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意还可读取,日志...

    安恒信息
  • 互联网还可信吗?用户对于隐私的顾虑怎样打消

    这些年随着云计算、大数据技术的快速发展,用户已经从过去的互联网时代快速进入到了信息高速发展的时代,尤其是对于技术的创新所带来的用户使用体验的改变也正在影响着我们...

    安恒信息
  • 【小安看会】RSA2016 热点话题之——物联网安全

    物联网安全 美国当地时间3月1日,RSA 大会开启新的一天,企业展览仍在继续,会议活动也异彩纷呈,随着日程的推进,关键词不断被剖析,业内人士对于物联网时代的安全...

    安恒信息
  • 资讯 | 携程人工智能成果再获全球顶级学会AAAI认可

    国内在线旅游企业的科技感越来越浓。上周,携程旅行网在上海密集展示了一系列新科技成果。近日,携程科研团队撰写的深度学习主题的论文成果,又被大洋彼岸的顶级学术会议A...

    携程技术
  • 微分享回放 | Openstack虚拟云桌面在携程的应用

    【携程技术微分享】是携程技术中心推出的线上公开分享课程,每月1-2期,采用目前最火热的直播形式,邀请携程技术人,面向广大程序猿和技术爱好者,一起探讨最新的技术热...

    携程技术
  • DF消费者人群画像—信用智能评分方案分享(top5)

    此次比赛是中国移动福建公司提供2018年某月份的样本数据,包括客户的各类通信支出、欠费情况、出行情况、消费场所、社交、个人兴趣等丰富的多维度数据,参赛者通过分析...

    Coggle数据科学
  • 使用 DBMS_REPAIR 修复坏块

           对于Oracle数据块物理损坏的情形,在我们有备份的情况下可以直接使用备份来恢复。对于通过备份恢复,Oracel为我们提供了很多种方式,冷备,基于...

    Leshami
  • Leetcode Golang 122. Best Time to Buy and Sell Stock II.go

    版权声明:原创勿转 https://blog.csdn.net/anakinsun/article/details/88965946

    anakinsun
  • OSG嵌入QT的简明总结

    不得不说关于OSG的资料实在太零散了,搜索了很多关于OSG在QT下的解决方案,都是各有各的说法,有的说的不是很清楚,有的已经过时了。这里提供一下自己的解决方案吧...

    charlee44
  • WPF 程序生成类库错误

    出现这个错误是因为 app.xaml 的生成是 ApplicationDefinition ,所以可以右击项目的 app.xaml 文件,在属性生成选择 pa...

    林德熙

扫码关注云+社区

领取腾讯云代金券