网站首页   新闻中心   华夏名胜   世界景点   旅行游记   风土人情   旅游常识    酒店预定    特价机票
您现在的位置: 快乐旅行网 >> 旅游新闻 >> 国内旅游资讯 >> 正文
  美图欣赏

陷入“安全漏洞丑闻” 携程股价

如何在一个新兴市场创办一家OTA?

HomeAway起诉Airbnb商标侵权

蝉游记:游记只是切入点 商业化
  相关文章
为携程艺龙价格战的第一阶段复复盘
谁来弥补航空网络销售个性化服务不足的
谁来为携程信用卡危机买单?  

时间:2014-03-25 17:07:02 来源:腾讯科技

  携程旅行网上周末发生的信用卡信息泄露事件,或为所有正在向无线市场大举冲刺的企业敲响了警钟。​

  3月22日,漏洞报告平台乌云网连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意还可读取,日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。​

  携程此前发布的官方解释称,安全漏洞是由于技术开发人员为了排查系统疑问而留下了临时日志,并由于疏忽未及时删除。​

  另据知情人士透露,这次携程的安全漏洞,可能并不是在Web网页上的漏洞导致,而是无线部门在手机APP产品调试过程中,保存了日志并在Web.config 开了目录遍历才出的状况。一旦掌握了目录遍历,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为。​

  记者3月23日就此咨询携程官方,但截至发稿还没有收到相应回复。乌云网联合创始人孟德则告诉记者,漏洞虽然官方答复已经修复,但漏洞仍处于细节保密期(45天),等到漏洞细节公开后才能看到当时的具体情况。​

  业内分析人士认为,携程此次用户信息泄露事件,可能是无线研发推进过快而变相导致的。携程CEO梁建章在去年回归后的第一个重点就是推出“拇指+水泥”战略,将更多资源偏向移动互联网,所有最新的丰富旅游产品都优先在移动领域尝试。梁建章表示,无线客户端代表的移动互联网将是携程突围的一个关键点。在携程内部,无线业务亦被因此称为“二次创业”。​

  在移动互联网时代,企业对速度和效率的追求相比PC时代变本加厉,这也使得和企业利益没那么紧密的安全问题屡屡被忽略。孟德也向记者表示,从以前乌云上报告的案例情况来看,新兴的移动产品开发确实要格外注意隐私安全问题。​

  CVV码暂存争议:是否符合国际安全标准?​

  此次携程安全漏洞的关注焦点,在于携程是否违规保存了用户的信用卡CVV/CVC码信息。所谓CVV安全码,即信用卡背面签名条后7位斜体数字的末三位,是进行网络和电话交易时的安全特征,是属于高度机密的用户信息。​

  汽车之家创始人李想表示,“交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。而存储了用户信用卡的CVV,还泄漏了,前一个是企业的基本道德问题,后一个是安全问题。”​

  在离线交易模式下,只要掌握信用卡卡号、有效期、卡背上的3位CVV安全码等便可以完成交易,整个消费过程中不需要通过任何密码认证。​

  一位匿名的安全专家告诉腾讯科技,根据乌云提供的信息来看,携程违反了银联此前禁止记录CVC的规定,导致这次的事件并没有根本上解决风险的可能。目前用户只能通过信用卡账单查询,才能了解自己的银行卡是否被盗用。​

  PCI SSC作为目前国际上支付卡行业最高级别的安全标准认证,也明确禁止成员保存CVV码,否则予以重罚。​

  对于此次泄露用户CVV信息事件,携程的官方解释尚有两个疑点。​

  首先,携程为何会保留用户的CVV信息、是否违规?携程官方称,在用户授权后,携程会保存非CVV信息,而未扣款成功的CVV信息最多会被暂存7天,目的是为了降低用户费力度与协助用户便捷支付,符合PCI-DSS规定,携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。​

  但值得注意的是,携程此前一直在申请、却未通过PCI认证,我们无法通过第三方渠道获取携程内部究竟是否严格执行PCI规定。对于暂存7天的说法,一位支付行业人士则表示,无论如何,PCI都不允许保留CVV,这是一条铁律,一旦发现就会惩罚。​

  MediaV CTO 胡宁认为,携程可能并未故意存储CVV信息,但其数据传输为明文,且线上长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞,导致一错再错。​

  第二,携程的该安全漏洞究竟会影响多少用户?​

  携程官方称,此次受影响的主要为3月21日与3月22日的部分交易客户,93名潜在风险用户已被通知换卡,其余携程用户用卡安全不受影响。​

  乌云网联合创始人孟德告诉记者,携程该漏洞存在多久、何时出现以及

[1] [2] 下一页

收藏本站 | 联系我们 | 友情链接 | 酒店预订 | 特价机票 | 旅游论坛 | 星级酒店
Copyriht 2007 - 2009 © 快乐旅行网 All right reserved