 |
· 海口國家高新技術產業開發區 · 海南交通安全綜合服務管理平臺 |
 |
新聞搜索: |  |
廣告熱線:0898-66835635 |
存儲用戶支付信息、明文保存用戶密碼……網站進行這些不規范操作,表面上是為了提供更簡潔的流程,實質上卻是以犧牲用戶網絡安全為代價。
攜程被曝支付日志存在漏洞,用戶銀行卡信息可被黑客任意讀取。這件事情引起的震動頗大,周圍很多人第一時間致電發卡銀行,請求更換信用卡或掛失,因接入用戶過多,一些銀行客服電話還遭遇占線,這是以前從未遇到過的。
盡管爆出消息的烏云漏洞平臺在報告時措辭比較專業,但“可被任意駭客讀取”幾個字消費者還是懂的,這也是恐慌的根源。
事件發生后,攜程在微博上說“向用戶誠懇道歉”,并稱漏洞已修復,承諾愿意為未來因安全漏洞引起的用戶損失承擔賠付責任。但在這份“申明”中,對泄密事件的一些細節卻含糊其辭,沒有直面的勇氣。
比如,攜程為什么要“將用戶支付的記錄用文本保存了下來”?在一月份曾有媒體質疑攜程網的支付安全性,當時攜程明確回復說“攜程網的后臺不會記錄用戶的支付信息”。是當初在撒謊,還是后來又“變壞”?網站不應保存CVV現在基本上是業內同行的規則。
再比如,即便保存了用戶信息,為什么要用明文存儲?2012年CSDN泄密事件,引起廣泛反思的,就是網站不應該用明文存儲用戶密碼信息。教訓如此嚴重,攜程再犯這種錯誤,實在不該。
關于網站在用戶支付過程中該如何保護用戶信息,國內外相關標準不止一個,國際上比較權威的是PCI-DSS(第三方支付行業數據安全標準),加入此標準認證的企業都要接受嚴苛的年度安全評估,并且每個季度都在接受PCI認證要求的ASV弱點掃描。但國內主動進行這項認證的網站只是少數,去年底,還有媒體報道未能在攜程上找到PCI-DSS認證標識。
攜程是行業巨頭,又是上市公司,居然也在安全問題上犯這樣的低級錯誤,只能說沒有把用戶的利益放在第一位,同時也反映出當前中國互聯網界整體安全意識淡薄的現狀。存儲用戶支付信息、明文保存用戶密碼……網站進行這些不規范操作的時候未必心存惡念,它們很多只是為了提供更簡潔的流程,以表面上更好的體驗留住用戶,以便在競爭中取得領先地位,但實質上,卻是以犧牲用戶網絡安全為代價。
您當前的位置 :
b5952804-99e7-4136-9212-0df083fca7a1_zsize_watermark.jpg)
8c945d5d-b464-46d6-a8dc-2cc02c1351b5_zsize_watermark.jpg)
ea29bfd3-8ae1-4072-8acc-bc7dcb977a57.jpg)
a38b5d16-1450-4249-b61f-7be2c15e839e.jpg)
02091471-8ec8-4d07-8615-fe2d531a587e.jpg)
7cd0c220-5e04-4ada-b50f-ea101f58a2f8.png)
