來源:價(jià)值中國 作者:張平
攜程網(wǎng)在信息泄露事件中究竟錯(cuò)在哪兒?
近日,攜程網(wǎng)可能泄露部分用戶支付信息的事件引起眾多關(guān)注。漏洞報(bào)告平臺(tái)烏云網(wǎng)稱,攜程開啟了用戶支付服務(wù)接口的調(diào)試功能,支付過程中的調(diào)試信息可被任意駭客讀取,可能導(dǎo)致大量用戶銀行卡信息泄露。事件發(fā)生后,攜程方面在微博上“向用戶誠懇道歉”,并稱已在兩小時(shí)內(nèi)修復(fù)了這個(gè)漏洞,攜程用戶信息未受影響。
不過業(yè)內(nèi)專家認(rèn)為,攜程在“申明”中對(duì)泄密事件的細(xì)節(jié)含糊其詞,沒有直面錯(cuò)誤的勇氣。盡管漏洞即刻就被修復(fù),但事件引發(fā)的恐慌卻正在發(fā)酵,用戶們對(duì)“信息可被任意駭客讀取”的消息始終無法釋懷,如梗在喉。也有網(wǎng)民提出質(zhì)問:攜程的廣告語是“攜程在手,說走就走”,可這“說泄密,就泄密”,將用戶的安全和利益置于何地?
細(xì)查這起“泄密”事件的原因,并非是交易方式存在問題,而在于攜程網(wǎng)違反監(jiān)管規(guī)定,違規(guī)儲(chǔ)存了用戶的消息,給黑客盜用信息留下空間。這里所說的用戶信息包括指持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡BIN等重要信息。
攜程事件不僅影響到其自身的信譽(yù)度問題,也給第三方支付安全敲響了警鐘。為了提高安全性,前不久,工、農(nóng)、中、建等四大銀行分別高低快捷支付額度;就在稍早之前,央行還暫停了虛擬信用卡和二維碼支付。
但是筆者認(rèn)為,限制快捷支付的額度,并不能增強(qiáng)用戶在交易時(shí)的安全性。假如支付方式本身存在漏洞,即使降低了支付額度,這個(gè)漏洞依然存在,消費(fèi)者的資金安全同樣無法保障。那么在攜程信息泄露事件中,該網(wǎng)站存在著什么問題值得反思的呢?
首先,攜程網(wǎng)沒有汲取好歷史教訓(xùn)。類似攜程的泄密事件絕非個(gè)例。2012年CSDN事件在前,兩年后攜程事件歷史再現(xiàn)。只不過CSDN被泄密的部分是歷史數(shù)據(jù)庫,不是金融數(shù)據(jù);此次攜程泄密的是正在支付的數(shù)據(jù),是用戶的銀行卡信息。所以,攜程泄密的后果可能比CSDN泄密事件的后果要嚴(yán)重。在CSDN事件之后,無論是用戶,還是網(wǎng)站平臺(tái),對(duì)于用戶的個(gè)人信息安全問題,是互聯(lián)網(wǎng)發(fā)展的硬傷。
在此攜程事件之前有CSDN泄密事件,而事后又有美國國家安全局曾經(jīng)入侵到中國企業(yè)華為總部的服務(wù)器,并試圖取得機(jī)密信息,所以攜程網(wǎng)應(yīng)該以此引以為戒。根據(jù)烏云平臺(tái)及攜程方面的申明,這次用戶的個(gè)人支付信息,比如攜程用戶持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin等信息都可能遭外泄。這也是為什么很多用戶心急火燎地著急更換信用卡的原因所在。
再者,快捷與安全,魚與熊掌不可兼得。攜程是為了提升客戶體驗(yàn),簡潔了支付流程,這雖然在競(jìng)爭地位中獲得優(yōu)勢(shì)。但實(shí)質(zhì)上,這種優(yōu)勢(shì)卻是以用戶安全為代價(jià)換來的。比如之前有媒體報(bào)道,攜程網(wǎng)會(huì)員如果多次購買支付酒店或機(jī)票價(jià)款后,只需提供卡號(hào)后四位及CVV2碼,攜程網(wǎng)就會(huì)完成下一次支付操作。這說明攜程網(wǎng)本身為了提供快捷簡易的支付方式,在用戶資金安全保障方面做得還有欠缺,同樣在用戶的信息資料存儲(chǔ)保留方面也心不在焉。在這種情況下,用戶信息很容易被駭客盜取。
最后,在攜程事件中,很多人覺得奇怪,為什么攜程要將“用戶支付的記錄用文本保存下來”呢?攜程沒有給出令人信服的解釋,但是按照銀聯(lián)2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》2.1條,各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、差錯(cuò)處理所必需的最基本的賬戶信息,不得存儲(chǔ)銀行磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期。而攜程存儲(chǔ)用戶信息,甚至明文保存用戶密碼的違規(guī)操作,顯然已經(jīng)涉嫌違法。
筆者認(rèn)為,攜程事件除了攜程網(wǎng)該受到應(yīng)有的反思和改進(jìn)之外,時(shí)下關(guān)于信息安全領(lǐng)域,分散的管理主體不僅降低了監(jiān)管效率,也容易逃避責(zé)任。據(jù)統(tǒng)計(jì),除了承擔(dān)信息安全監(jiān)管工作的工信部,公安部、衛(wèi)生部、食品藥品監(jiān)督管理局、銀監(jiān)會(huì)、證監(jiān)會(huì)等部門都有規(guī)章文件涉及個(gè)人信息保護(hù)。責(zé)任主體的“九龍治水”,從而導(dǎo)致了立法的“前快后慢”。個(gè)人信息保護(hù)立法自2003年被納入立法規(guī)劃以來,依然沒有取得實(shí)質(zhì)性進(jìn)步。而攜程網(wǎng)式信息安全事件足以說明,立法保護(hù)的重要性和緊迫性,也為立法的遲滯不前再次敲響了警鐘。
攜程網(wǎng)信息安全事件,既說明了我國互聯(lián)網(wǎng)企業(yè)本身對(duì)客戶信息安全保護(hù)意識(shí),對(duì)相關(guān)法律法規(guī)的學(xué)習(xí)力度有待加強(qiáng),也說明了我國個(gè)人信息保護(hù)立法已經(jīng)嚴(yán)重滯后,已到急待跟進(jìn)的程度,退一步講,就算用戶信息因被駭客竅取,而蒙受損失,廣大互聯(lián)網(wǎng)金融用戶也難以拿起法律的武器保護(hù)自己應(yīng)有的權(quán)益。 |
您的位置:
