关于携程的信用卡信息泄露

安全
对携程来说,这次的事件与其说是技术上的漏洞,不如说是信誉上的危机。同时也让我们看到了安全的重要性:建立用户信任可能需要若干年,毁掉它却只需要一天。

可能很多朋友比较关心3月22日乌云爆出的携程信用卡信息泄露的漏洞。具体过程我就不赘述了,因为明天肯定是铺天盖地的新闻。这次的事件很多评论文章都没有提到PCI-DSS标准,其实通过这个简单的维度就可以判断哪篇评论靠谱,哪篇不靠谱。PCI-DSS是「第三方支付行业数据安全标准」,由VISA与MasterCard牵头制定。凡是要做第三方支付业务,想在美国上市,必须要过这个标准。而在PCI-DSS标准中,明确的定义了如何实施数据保护,以及哪些信息是可以保存,哪些信息是不能保存(尤其是明文保存)的(比如CVV等敏感信息)。因此携程这次是明确的违反了PCI-DSS的相关规定。

[[110428]]

因为携程在上市的时候肯定是通过了PCI-DSS标准的,由此也可以看出一些安全标准从实施到维持是何等的艰难。而「安全标准」、「合规」的要求现在已经沦落为一门生意,含金量越来越低。实施PCI-DSS的安全公司可能会给客户提交一大堆文档,但真正认真去落地的公司越来越少了。所以通过了安全标准并不意味着什么,只是花钱买了个牌照而已。比如PCI-DSS的要求会产生很多衍生的安全需求,而VISA也投了一些安全公司,他们把这里面的大部分利益给分了。在利益关联之下,对认证的审核必然不会太过严格。

这次的事件按照携程官方的解释是出于调试的目的记录了临时日志,共涉及到93名用户,未发现其他数据泄露。我相信这个漏洞的提交者「猪猪侠」并不会将这部分数据用于恶意用途,因为他在业内的口碑非常好,且如果想这么干,就不会把漏洞提交给乌云了。但携程是否还存在其他问题却不得而知。

对于用户而言,可能会产生恐慌心理而要求银行更换信用卡。但除非你以后不再用网上信用卡支付了,否则类似的问题短期内还是很难避免。我相信还有很多公司比携程做的更糟糕,更缺乏规范,特别是一些还没有上市,没有通过PCI-DSS认证的公司,只是这些问题没有被暴露在阳光下,因此你不知道而已。

对携程来说,这次的事件与其说是技术上的漏洞,不如说是信誉上的危机。同时也让我们看到了安全的重要性:建立用户信任可能需要若干年,毁掉它却只需要一天。

责任编辑:蓝雨泪 来源: 道哥的黑板报
相关推荐

2014-03-24 09:16:55

2014-03-24 09:53:02

2014-07-08 09:28:21

携程漏洞信用卡

2021-04-15 07:43:34

信用卡勒索软件攻击

2014-03-24 10:32:04

携程信息泄露PCI DSS

2015-02-02 14:56:19

2014-03-23 17:29:16

2014-12-25 17:51:07

2014-03-25 09:18:25

2014-03-24 13:30:45

2014-03-23 08:16:53

2014-03-24 09:25:57

2014-09-23 10:17:38

2014-09-22 10:32:34

2014-06-24 13:33:34

2013-04-17 11:06:46

Linode黑客信息泄露

2014-04-16 13:55:20

2017-04-27 11:09:52

信用卡支付技术

2022-01-06 10:23:48

黑客网络安全网络攻击

2020-04-17 09:20:19

数据泄露漏洞信息安全
点赞
收藏

51CTO技术栈公众号