ITBear旗下自媒体矩阵:

携程“漏洞”或人为造成 支付安全成焦点

   时间:2014-03-26 15:36:33 来源:互联网编辑:星辉 发表评论无障碍通道

“携程网数据被黑了,在携程上订过机票的信用卡已经不安全啦,快去换掉吧……”,“求技术解答,我在携程用过好几张信用卡,要不要全部换掉?”整个周末,朋友圈不断刷新这些信息,携程网到底怎么啦?携程网摊上大事啦!

3月22日,乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露。消息一出,让知名旅游网站携程网突然成为“众矢之的”。

携程被爆支付漏洞 或人为造成

3月22日,国内知名漏洞报告平台乌云网公布了“携程安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。而该信息加密级别并不够高,可以被骇客轻易获取。泄露的信息包括用户的:持卡人姓名、身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、卡号、CVV码(信用卡背后的一组数字)以及用于支付的6位密码。

几个小时之后,携程网发表官方的回复,携程技术人员已经确认该漏洞并在两小时内及时修复,对于乌云平台发现的漏洞信息表示感谢。该漏洞受影响的用户为近期的部分交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将持续通报。

这样官方的说辞引起了更多的恐慌。“泄露门”经过传播已经被大多数人解读为,只要在携程用信用卡消费过的用户,都有可能面临这样的风险。次日,与携程有合作的几大银行卡客服电话通通被打爆,很多用户要求换卡。招商银行信用卡的客服是这样解释的,只有在21、22号期间发生购买行为的用户才有可能有风险,其他用户没有风险。

另据知情人士透露,这次携程的安全漏洞,可能并不是在Web网页上的漏洞导致,而是无线部门在手机APP产品调试过程中,保存了日志并在Web.config 开了目录遍历才出的状况。一旦掌握了目录遍历,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为。

3月23日,携程给出更为详细的解释,“携程的技术开发人员为了排查系统疑问在线上环境开启了支付调试功能,留下了临时日志,因疏忽未能及时删除,目前,这些信息已经删除。经过排查,仅漏洞发展者做了测试下载,共涉及93名存在风险的的携程用户。没有接到携程电话通知的用户,个人信息是安全的。”

携程失去的信誉能否挽回

前不久,中国之声《央广新闻》曾报道,携程旅行网近日在网上被网友们纷纷吐槽,曝光“多宗罪”,即:霸王条款、欺诈消费者、单方毁约、服务质量差、虚假宣传等。此外,人民网推出的旅游投诉平台也显示,在所有的旅游投诉中,携程网的投诉率高居榜首。

接二连三的信任危机对携程的应对能力可以说是一个严峻的考研。从网友吐槽“多宗罪”到出现系统技术漏洞,携程,这家1999年创办的、目前被誉为中国领先的在线票务服务公司该做出一个怎样的选择?是企业发展的阵痛还是经营理念的缺失,亦或者是管理的麻痹大意?不管怎样,作为消费者最关心的始终是这个企业能够带来的便捷与诚信服务。

长此以往,也难怪网友会吐槽。任何一个有业界良知和社会责任担当的企业,在面对消费者的质疑时都应该首先从自身角度来思考是否存在问题,而不是从其他方面找原因。你既然是这个行业的巨头,就应该有个巨头的样子,拿出点诚意来,是什么问题就开什么药方,否则,离失败就不远了。因为消费者的信任是一个企业能否立足的根本,当消费者都对你嗤之以鼻之时,就算你有九牛二虎之力恐怕也不能“翻身农奴把歌唱”了。诚信经营,应该未雨绸缪,不能临时抱佛脚,更不能抱着可有可无的态度,不然,失去的就不仅仅是消费者和市场了,甚至会让你倾家荡产。

对携程来说,这次的事件与其说是技术上的漏洞,不如说是信誉上的危机。同时也让我们看到了安全的重要性:建立用户信任可能需要若干年,毁掉它却只需要一天。携程旅行网上周末发生的信用卡信息泄露事件,或为所有正在向无线市场大举冲刺的企业敲响了警钟。

携程敲响安全支付警钟

近几年,各种用户信息泄露事件依然层出不穷。2012年的CSDN泄密事件,曾引起广泛反思。去年10月,乌云发布曾报告称,如家、汉庭等大批酒店的客户开房记录因被第三方存储和系统漏洞而泄露。报告中,乌云曝光了网上下载酒店客户信息的过程,成功下载的客户信息中完整记录了入住酒店旅客的身份证、入住时间、入住的房间号码等隐私信息。

随着移动互联网兴起,用户包括身份、银行财产等相关数据和互联网应用绑定越来越紧密,泄露风险和威胁越来越大。而企业为了提高用户操作和消费便利性,或者为了加快产品开发流程,往往忽略了安全性。

某互联网上市公司负责人表示,不管是App还是Wap或Web,都只是产品的前端表现形式,所调用的数据源必然只有一个。新产品的上线流程一般是“开发机——内网测试机——发布员发布到外网”,每个环节都有QA测试,但在把控不严或追求速度的情况下,程序员会临时去外网修改产品,这么做非常危险,因为跳过了控制流程、跳过了发布员(跟产品开发不是一拨人),将失去对各环节和安全的控制点。?有专家称,“携程安全漏洞事件虽然只是一个偶然,却反映出互联网金融在经历快速发展之时,到了需要监管的时候。”

 

“泄露门”对携程信誉的影响不言而喻,据悉昨晚七点,携程高层还在召开紧急会议,直到晚八点半还没有结束。显然,携程网安全漏洞信息还在继续发酵。消息称携程计划将与国际知名信息安全认证机构合作,共同保护消费者的个人信息。高居榜首的投诉率,不断发生状况的系统技术漏洞,纵使及时修复,可消费者所受的创伤能否痊愈,失去的信任能否挽回?

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  RSS订阅  |  开放转载  |  滚动资讯  |  争议稿件处理  |  English Version