從遠期的人人,CSDN,天涯被曝拖出明文數(shù)據(jù)庫,再到近期的全球最大比特幣交易網(wǎng)站Mt.Gox被黑客盜走75萬比特幣,以及剛剛發(fā)生的攜程事件,這個網(wǎng)絡世界著實讓人感到不安全,我們需要交易需要服務,但同時我們也需要更加安全的平臺來保護我們的利益,而不是讓我們隨時陷入恐慌之中。
理應說這次重大事件發(fā)生,攜程應當?shù)谝粫r間通知用戶,而不是通知烏云??磥頂y程這次出大事了,那我想從技術角度看看攜程到底犯了哪些錯。
1、保存CVV等同于保存用戶密碼
進入支付金額這一流程,攜程只要求輸入身份證號、持卡人姓名、信用卡卡號、信用卡卡背面上三位CVV安全碼,交易就宣告成功,根本無需輸入信用卡密碼。
說的通俗點,CVV安全碼等同于密碼,所以很多有戒備心的用戶都是在辦理信用卡后將后三位涂摸掉,以防刷卡時被人發(fā)現(xiàn),就可以直接刷其信用卡的現(xiàn)金。
而攜程私自保存CVV安全碼的行為,其本質(zhì)上就是在用戶輸入交易密碼私下留存的行為,這種行為也是銀行明文禁止的,攜程作為這樣一個大公司,居然私自保存用戶CVV安全碼,著實讓人不可思議。
2、明文保存
再將CVV安全碼同支付寶密碼,銀行卡密碼作對比,又暴露了什么問題?
首先任何網(wǎng)站的用戶的密碼都應當是經(jīng)過不可逆轉(zhuǎn)的加密保存,無法明文保存,用非技術的話來說就是數(shù)據(jù)庫后臺工程師看到的用戶密碼都無法進行任何操作,因為假設原來用戶的密碼是“123123”那么后臺密碼就可能是“SDF23KLFAS2323KK4”之類的經(jīng)過復雜算法后的暗碼。
如果攜程此次是將CVV加密保存,那么就算是被檢查出有漏洞,也絕不會有太大危險。
我們再次回看2011年,CSDN被爆明文保存密碼被拖庫事件:
(1)CSDN帳號數(shù)據(jù)庫是明文保存密碼嗎?
2009年4月之前是明文,2009年4月之后是加密的,但部分明文密碼未清理;2010年8月我來CSDN以后清理掉了所有明文密碼。所以從2010年9月開始全部都是安全的,9月之前的有可能不安全。
(2)我的CSDN帳號是安全的嗎?需要修改密碼嗎?
如果你是2009年4月以前注冊的帳號,且2010年9月之后沒有修改過密碼,請立即修改密碼;
如果你是2009年4月以后注冊的帳號,且2010年9月之后沒有修改過密碼,建議修改密碼;
如果你是2010年9月以后注冊的帳號,不必修改密碼,但郵箱有泄露可能性;
如果你是2011年1月以后注冊的帳號,帳號,密碼和郵箱都非常安全;
從中說明了一件事,一旦用明文保存用戶信息有過一段時間,都是很危險的事情,哪怕你之后將明文改成了暗文,只要之前的數(shù)據(jù)被黑客得到過,都會遭遇極大危險。
3、無法兌現(xiàn)賠付承諾
可以試想一下,只要用信用卡支付過一次的攜程用戶都會遭遇到被刷卡的風險。而用戶解決的唯一方法就是換卡。攜程聲明中聲稱沒有用戶出現(xiàn)被盜的情況,但是還是通知用戶去換卡,只能說明心虛無疑。而一旦用戶的信用卡被盜刷,如果要想投訴攜程,恐怕攜程也不太可能承認,如果承認將會出現(xiàn)更大危機,而用戶也無法找到任何證據(jù)說明自己信用卡被盜刷是因為攜程的原因。
所以攜程關于“倘若發(fā)生安全漏洞并引起用戶損失,攜程將給予全額賠付?!钡某兄Z只是一句漂亮的空話而已,在具體落實的層面是極難操作的。
4、危險可能已經(jīng)發(fā)生
攜程該漏洞只是在烏云大牛豬豬俠發(fā)現(xiàn)后被補上,但完全不排除已經(jīng)有其他高手早已將之攻破,已經(jīng)在進行暗箱操作。
信用卡有支付限制,每天只能小額轉(zhuǎn)移,在大額轉(zhuǎn)以上還需要手機認證,但如果黑客坐擁如此海量攜程用戶,并且每天像是在羊群身上抽羊毛,用戶都不會覺得痛,只需要幾天時間,便可以將大量現(xiàn)金轉(zhuǎn)賬,仔細想想,這也是一件非??植赖氖虑?。
這就像CSDN之前是用明文保存的用戶只要不修改密碼,就一定可以被黑客利用是一個道理,哪怕09年4月以后CSDN使用了暗碼保存也同樣沒用,這個數(shù)據(jù)庫已經(jīng)拖出來了,已經(jīng)無法挽回了。
是否攜程用戶的數(shù)據(jù)已經(jīng)被其他黑客截取正在進行著地下轉(zhuǎn)移,我們都不知道,只希望還是不要的好。
所以奉勸曾經(jīng)在攜程上使用過信用卡的用戶,以防萬一,還是趕緊換卡為妙。攜程自己都不敢百分之百保證安全,還是通知部分用戶去換卡,為了保險起見建議大家換卡,小心下一個被刷卡的可能就是你。
從遠期的人人,CSDN,天涯被曝拖出明文數(shù)據(jù)庫,再到近期的全球最大比特幣交易網(wǎng)站Mt.Gox被黑客盜走75萬比特幣,以及剛剛發(fā)生的攜程事件,這個網(wǎng)絡世界著實讓人感到不安全,我們需要交易需要服務,但同時我們也需要更加安全的平臺來保護我們的利益,而不是讓我們隨時陷入恐慌之中。
河南億恩科技股份有限公司(1tcdy.com)始創(chuàng)于2000年,專注服務器托管租用,是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網(wǎng)站建設、網(wǎng)站托管等網(wǎng)絡基礎服務,另有網(wǎng)總管、名片俠網(wǎng)絡推廣服務,使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話:
0371-60135900
虛擬主機/智能建站 24小時售后服務電話:
0371-55621053
網(wǎng)絡版權侵權舉報電話:
0371-60135995
服務熱線:
0371-60135900