吉宁讲师观点 / 企业管理培训 / 携程网惊爆信用卡门事件,互联网安全问题引发关注

携程网惊爆信用卡门事件,互联网安全问题引发关注

吉宁博士 2015年12月8日 企业管理培训

携程网在3月22日爆出的信用卡门事件,似乎在和上个周刚开完的315事件相互呼应。互联网安全问题再一次引起大家的重视。话说回来,互联网的安全问题已经存在不是一天两天了,但是近几年由于越来越多支付、购买等金钱相关行为在PC互联网或者移动互联网上操作,安全问题又进入了大众的关注焦点了。

3月22日傍晚6点多,互联网漏洞报告平台乌云网发布了一则重磅消息——携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被任意骇客读取。

根据乌云的报告,漏洞泄露的信息包含用户姓名、身份证号码、银行卡号和类别、卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)、6位卡Bin(用于支付的6位数字)。换句话说,拥有了以上信息,就能完成整个上网的支付流程。

消息发布没过多久,携程网“信用卡门”就成为了口耳相传的热点话题。不少网友联系银行客服要求更换信用卡。“携程出了事以后,刚挂失完两个工行的,建行处理起来还比较麻烦,95533人工占线,三张在携程用过的银行卡准备全部注销!”某网友说道。

3月23日早上7点多,携程在其官方微博上发布声明:“对于乌云平台发现的漏洞信息,携程非常重视。消息一经传出,我们连夜彻查,并在两小时内修复了这个漏洞。据排查,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响。事件发生后,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。”

在携程第一时间承认“安全漏洞”存在的同时,仍有客户在质疑“漏洞”是怎样产生的?携程方面称:“由于其技术人员之前为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前这些信息已全部删除。”

那么这个日志里面存储了什么信息呢?由于这个日志是支付接口记录的(或许也有其他的非支付接口),里面包含有持卡人姓名,持卡人身份证,卡号,CVV码,银行6位Bin(用于验证支付信息的6位数字)。这里面最要命的就是CVV码,CVV码是用来验证支付方是否是用户本人的验证码。换句话说,一般使用卡号和CVV码就可以直接付款了。好了,这就意味着,如果有黑客在猪猪侠之前发现这个漏洞,获取到支付日志,那么就可以使用支付日志上别人的卡号和CVV码来付款购买货物了。

3/23日,携程在发现这个漏洞的时候发表声明,说在发现漏洞之后的两个小时,就已经将漏洞修复了。并且在修复之后检查日志下载情况,并没有遭到恶意下载。对涉及存在潜在风险的93名用户,已经告知了。

这个声明的意思就是说,从线上调试模式开启到调试模式关闭中间保存的日志中,只有93名用户有记录,其他用户并没有支付记录。再者,这个日志并没有被其他黑客下载过,也还没有发生信用卡被盗刷事件。

这次携程网泄露用户支付信息事件正发生在传统金融业与互联网金融激烈博弈期间,以用户安全为由,监管部门正要对第三方支付施加诸多限制,在这个关键时期爆出这样的事情,携程可谓给央行想睡觉就送上了枕头。

从用户角度来看,不要只看一个事件而否定一个公司,而要看公司处理事件的态度。从这个信用卡门事件上来看,携程处理的速度和态度还是很可以的。携程提出的“如果有信用卡盗刷,公司全额赔付”,“漏洞悬赏500w”,“发现漏洞两个小时处理”都是切中了用户担心和顾虑的点的。

互联网给我们带来便捷的同时必然带来了安全问题。但是从本质来说,安全问题不只是技术应该要考虑的问题,而应该是技术,制度,信用机制一同发力的问题。企业中对技术、运营等需要制定一系列的规章制度,才能最大程度避免安全问题。当然,这么说已经是很空很大的套话了,具体怎么做还要看各个公司自己的了。

About 吉宁博士

真正的实战派企业培训师,长期致力于人力资本、公司行为、市场营销、企业战略及领导力发展等组织实践与研究,数十年来参与及主持过的管理咨询项目累计逾千次;受邀主讲过的各类企业培训课程累计逾万次。