從技術(shù)角度看,攜程到底犯了哪些錯(cuò)?
理應(yīng)說這次重大事件發(fā)生,攜程應(yīng)當(dāng)?shù)谝粫r(shí)間通知用戶,而不是通知烏云??磥頂y程這次出大事了,那我想從技術(shù)角度看看攜程到底犯了哪些錯(cuò)。
1、保存CVV等同于保存用戶密碼
進(jìn)入支付金額這一流程,攜程只要求輸入身份證號(hào)、持卡人姓名、信用卡卡號(hào)、信用卡卡背面上三位CVV安全碼,交易就宣告成功,根本無需輸入信用卡密碼。
說的通俗點(diǎn),CVV安全碼等同于密碼,所以很多有戒備心的用戶都是在辦理信用卡后將后三位涂摸掉,以防刷卡時(shí)被人發(fā)現(xiàn),就可以直接刷其信用卡的現(xiàn)金。
而攜程私自保存CVV安全碼的行為,其本質(zhì)上就是在用戶輸入交易密碼私下留存的行為,這種行為也是銀行明文禁止的,攜程作為這樣一個(gè)大公司,居然私自保存用戶CVV安全碼,著實(shí)讓人不可思議。
2、明文保存
再將CVV安全碼同支付寶密碼,銀行卡密碼作對(duì)比,又暴露了什么問題?
首先任何網(wǎng)站的用戶的密碼都應(yīng)當(dāng)是經(jīng)過不可逆轉(zhuǎn)的加密保存,無法明文保存,用非技術(shù)的話來說就是數(shù)據(jù)庫(kù)后臺(tái)工程師看到的用戶密碼都無法進(jìn)行任何操作,因?yàn)榧僭O(shè)原來用戶的密碼是“123123”那么后臺(tái)密碼就可能是“SDF23KLFAS2323KK4”之類的經(jīng)過復(fù)雜算法后的暗碼。
如果攜程此次是將CVV加密保存,那么就算是被檢查出有漏洞,也絕不會(huì)有太大危險(xiǎn)。
我們?cè)俅位乜?011年,CSDN被爆明文保存密碼被拖庫(kù)事件:
(1)CSDN帳號(hào)數(shù)據(jù)庫(kù)是明文保存密碼嗎?
2009年4月之前是明文,2009年4月之后是加密的,但部分明文密碼未清理;2010年8月我來CSDN以后清理掉了所有明文密碼。所以從2010年9月開始全部都是安全的,9月之前的有可能不安全。
(2)我的CSDN帳號(hào)是安全的嗎?需要修改密碼嗎?
如果你是2009年4月以前注冊(cè)的帳號(hào),且2010年9月之后沒有修改過密碼,請(qǐng)立即修改密碼;
如果你是2009年4月以后注冊(cè)的帳號(hào),且2010年9月之后沒有修改過密碼,建議修改密碼;
如果你是2010年9月以后注冊(cè)的帳號(hào),不必修改密碼,但郵箱有泄露可能性;
如果你是2011年1月以后注冊(cè)的帳號(hào),帳號(hào),密碼和郵箱都非常安全;
從中說明了一件事,一旦用明文保存用戶信息有過一段時(shí)間,都是很危險(xiǎn)的事情,哪怕你之后將明文改成了暗文,只要之前的數(shù)據(jù)被黑客得到過,都會(huì)遭遇極大危險(xiǎn)。
3、無法兌現(xiàn)賠付承諾
可以試想一下,只要用信用卡支付過一次的攜程用戶都會(huì)遭遇到被刷卡的風(fēng)險(xiǎn)。而用戶解決的唯一方法就是換卡。攜程聲明中聲稱沒有用戶出現(xiàn)被盜的情況,但是還是通知用戶去換卡,只能說明心虛無疑。而一旦用戶的信用卡被盜刷,如果要想投訴攜程,恐怕攜程也不太可能承認(rèn),如果承認(rèn)將會(huì)出現(xiàn)更大危機(jī),而用戶也無法找到任何證據(jù)說明自己信用卡被盜刷是因?yàn)閿y程的原因。
所以攜程關(guān)于“倘若發(fā)生安全漏洞并引起用戶損失,攜程將給予全額賠付?!钡某兄Z只是一句漂亮的空話而已,在具體落實(shí)的層面是極難操作的。
4、危險(xiǎn)可能已經(jīng)發(fā)生
攜程該漏洞只是在烏云大牛豬豬俠發(fā)現(xiàn)后被補(bǔ)上,但完全不排除已經(jīng)有其他高手早已將之攻破,已經(jīng)在進(jìn)行暗箱操作。
信用卡有支付限制,每天只能小額轉(zhuǎn)移,在大額轉(zhuǎn)以上還需要手機(jī)認(rèn)證,但如果黑客坐擁如此海量攜程用戶,并且每天像是在羊群身上抽羊毛,用戶都不會(huì)覺得痛,只需要幾天時(shí)間,便可以將大量現(xiàn)金轉(zhuǎn)賬,仔細(xì)想想,這也是一件非??植赖氖虑椤?/p>
這就像CSDN之前是用明文保存的用戶只要不修改密碼,就一定可以被黑客利用是一個(gè)道理,哪怕09年4月以后CSDN使用了暗碼保存也同樣沒用,這個(gè)數(shù)據(jù)庫(kù)已經(jīng)拖出來了,已經(jīng)無法挽回了。
是否攜程用戶的數(shù)據(jù)已經(jīng)被其他黑客截取正在進(jìn)行著地下轉(zhuǎn)移,我們都不知道,只希望還是不要的好。
所以奉勸曾經(jīng)在攜程上使用過信用卡的用戶,以防萬(wàn)一,還是趕緊換卡為妙。攜程自己都不敢百分之百保證安全,還是通知部分用戶去換卡,為了保險(xiǎn)起見建議大家換卡,小心下一個(gè)被刷卡的可能就是你。
從遠(yuǎn)期的人人,CSDN,天涯被曝拖出明文數(shù)據(jù)庫(kù),再到近期的全球最大比特幣交易網(wǎng)站Mt.Gox被黑客盜走75萬(wàn)比特幣,以及剛剛發(fā)生的攜程事件,這個(gè)網(wǎng)絡(luò)世界著實(shí)讓人感到不安全,我們需要交易需要服務(wù),但同時(shí)我們也需要更加安全的平臺(tái)來保護(hù)我們的利益,而不是讓我們隨時(shí)陷入恐慌之中。
來源:鈦媒體
所以測(cè)試部門的工資要給很高。