攜程“漏洞”又叩安全門
金融最大的隱患是什么?安全。3月22日18時18分,漏洞報告平臺烏云曝光了攜程支付日志存在安全漏洞,用戶銀行卡信息可被黑客任意讀取。恰逢傳統金融業與互聯網金融激烈博弈之際,攜程支付信息漏洞事件也再次拷問了網絡支付的安全問題。
2011年的“CSDN泄密門”,導致大量網民受到隱私泄露的威脅,事件影響已經超出社交網站的范疇,蔓延至電子商務和銀行業。網站不應該用明文存儲用戶密碼信息,早應該成為血的教訓,也基本上是業內同行的規則。
而在互聯網金融快速發展的三年后,支付安全問題則更加引人關注。因為在線旅游行業是國內最早在機票和酒店領域實現信用卡預授權的行業,在支付寶和微信支付風靡之前,在線旅游行業幾乎全部的機票、部分酒店、旅游度假以及其他更多類型產品,都需要在線支付。
攜程此次受到質疑的主要問題,其實不是在于安全漏洞這么簡單,更重要是支付日志的存在。目前網站針對CVV碼的普遍做法,是暫存但不保留:用戶在商戶提交信用卡支付成功后,商戶必須立即將CVV碼信息刪除;若提交信用卡支付未成功,商戶可以將CVV碼信息保存7天后清除。但這些規定攜程卻并沒有嚴格遵守,所以才有了這次的信息外泄事件。
攜程什么時候開始有這種日志打???覆蓋了多少客戶的敏感信息?通過審計統計有多少人對這些文件進行了訪問?能被一個人發現的問題,極有可能也被更多的人發現。系統日志中有信息又未及時清理,所存儲的服務器還有安全漏洞,網站一些表面為了用戶更方便的流程,實質上卻是以犧牲用戶網絡安全為代價。
盡管和三年前的“CSDN泄密門”不同,這次其他網站并未暴露與攜程一樣的風險,但大數據時代的網絡信息安全還是受到了拷問。對于已經備受詰問的互聯網行業尤其是互聯網金融來說,在這個時點出現這樣的事件,并非是好消息。