清水离心泵厂家
免费服务热线

Free service

hotline

010-00000000
清水离心泵厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

携程漏洞后续3大恐慌远超实际危害

发布时间:2020-03-23 14:44:11 阅读: 来源:清水离心泵厂家

3月22日携程出现重大安全漏洞,携程安全支付日志可遍历下载,致使大量用户银行卡信息泄漏 (包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。虽然漏洞仅延续了两个多小时,不过事件引发的恐慌仍在延续。目前看来,该漏洞引发的耽忧和愤怒大大超过了漏洞造成的实际危害本身。

恐慌远超实际影响根据携程官方的说法,目前并没有监测到有用户出现信用卡被盗刷现象,且该漏洞仅影响到了93名用户,携程已通过电话通知用户更换信用卡,并给予每人500元礼品卡作为补偿。

同时携程许诺若产生盗刷,携程将赔偿用户损失。

国内顶级白帽安全团队Keen Team的安全专家表示,被泄漏的日志也并不像传闻所说的不安全,在安全支付日志中被毛病记录的用户敏感信息,包括信用卡号、信用卡有效期、信用卡CVV三位验证码是经过AES加密后存储在安全日志中的。在加密密钥没有对外泄漏的情况下,AES的加密强度足以抵抗来自民间的解密尝试,加密处理过的用户信息在一定程度上还是得到保障的。

依照上述解释,本次漏洞虽然听上去惊悚,但是实际影响是:1、只有3月21-22日消费的93名用户受影响;2、携程将承当用户损失;3、被泄漏的日志也很难被黑客利用。

不过用户的负面情绪并没有由于这些解释而有所和缓,直到携程发出解释后,多家银行的客服电话依然被打爆,有用户乃至愤怒得剪毁了绑定的银行卡,有用户在携程官方微博中评论道,此事的重点不在于漏洞,而在于违法存储用户信息,而500元赔偿的行动也被指避重就轻。

相比起实际损失,该事件引发的3大恐慌更加使人耽忧。

1、PCI DSS认证形同虚设?

PCI DSS即第三方支付行业(支付卡行业PCI)数据安全标准,该标准由VISA和MasterCard等机构牵头制定,支付公司都会被要求通过这1安全认证。这1标准规定CVV、追踪数据、磁条或PIN数据等特定信用卡信息不能被商户保存。

携程作为上市公司,在上市时应通过了这1安全认证,不过此次泄漏的日志却显示携程明文记录了这些信息。

1名安全行业资深人士表示,PCI DSS含金量愈来愈低,通过认证后去把标准认真落地的公司愈来愈少,通过PCI DSS更像是花钱买了一个牌照,其实不说明任何问题。

这1说法影射了全部支付安全行业的安全问题——这次暴露问题的是携程,其他通过PCI DSS标准的公司乃至上市公司是不是存在一样的问题?用户的信用卡敏感信息被多少公司记录着?下一家会是谁?

若PCI DSS标准缺少管束力,通过这1标准其实不意味着安全,那末其他与支付业务直接相干的公司也将遭到一定的信任危机。

2、给央行抹杀在线支付提供口实?

此次携程漏洞出现的时间相当奥妙,就在本月央行紧急发文暂停线下二维码支付、虚拟信用卡等面对面支付服务,虽然央行的说法是出于安全斟酌,不过更多人愿意相信是移动支付动了银联的奶酪。

而携程这一漏洞的出现恰逢其时地证明了在线支付的风险,有相干技术人士泄漏,此次泄漏是由于无线部门在手机APP调试进程中保存了日志并在nfig开了目录遍历,也就是说问题出在移动端,所以客观上这1事件的产生可以给央行封杀移动支付提供口实。

虽然这1说法有诡计论嫌疑,不过两起本无关联的事件引发的用户耽忧或影响到移动支付本身的发展。

3、绑定信用卡危机?

虽然此前就有用户耽忧过在移动支付产品中绑定银行卡或信用卡是不是存在安全风险,不过由于腾讯和阿里的大力推动,用户的这1疑虑正在消除。

事实上微信支付和支付宝也并未产生过用户银行卡信息大规模泄漏事件,此前央视对支付宝的质疑在支付宝数次回应后影响力也逐步被抵消。

不过这次携程的漏洞直接牵涉到了用户的银行卡安全,《风声》的导演高群书发微博称“坚持不用网银,不绑定信用卡,是十分正确的。”

相对已习惯在线支付和移动支付的用户,此前不敢尝试或抱犹豫态度的用户是遭到这1影响的主要人群,携程的事件给了他们足够的理由谢绝绑定信用卡或使用在线支付。

总而言之,携程此次漏洞事件本身的危害其实相当有限,而媒体大规模暴光、用户的广泛传播引发的恐慌和连带效应远远超过了这1事件本身,事件延续仅两个小时,而要消除影响需要的时间则远不止两个月。

上海德沁机械有限公司

上海德沁机械有限公司

上海德沁机械有限公司

上海德沁机械有限公司