谈谈携程支付日志泄漏漏洞与用户隐私

我比较喜欢经常去微博逛逛，因为经常能在微博上看到很多最新的消息和好的学习资料，刚在前一篇文章写完发布出去，习惯性的逛着微博，就看到了关于携程支付日志漏洞的微博。

点进wooyun链接（http://www.wooyun.org/bugs/wooyun-2014-054302#0-tsina-1-14334-397232819ff9a47a7b7e80a40613cfe1），可以看到漏洞的简介。大概的意思是说携程支付接口开启了调试，所有向银行验证信用卡信息的数据包保存在了服务器。另外又因为支付日志存储的服务器存在目录遍历漏洞，于是日志就可以被遍历。而日志里可以获取到：

持卡人姓名
持卡人身份证
所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）
所持银行卡卡号
所持银行卡CVV码
所持银行卡6位Bin(用于支付的6位数字)

在漏洞信息的下方有这样一个被置顶评论，发了一个文章的链接携程网被疑储存用户信用卡信息 存在泄露风险http://finance.china.com.cn/indu ... 40110/2111174.shtml

在文章发布的时候，携程官网已做回复：

为什么要保存用户信用卡信息？这是一个值得关注的问题，而且早在1月份的时候就已经有暴露的端倪，却没有去处理。官方的回复明显不能让大家满意。让我们静待事情的发展。。

这又是一个事关用户隐私的事件。

何谓隐私？百度百科是这样解释的:"隐私是一种与公共利益、群体利益无关，当事人不愿他人知道或他人不便知道的个人信息，当事人不愿他人干涉或他人不便干涉的个人私事，以及当事人不愿他人侵入或他人不便侵入的个人领域。"

今年以来，去年到今年来发生了挺多的隐私事件：

1、360上传用户隐私

2、棱镜事件

3、搜狗输入法隐私事件

4、央视曝光高鸿股份软件侵犯隐私

5、微信视频“泄漏”

6、支付宝信息泄露

....

先不论这些事件是否真实，但越来越多的关于用户隐私的事情被大众所关注

这次携程的事件如果确认，那么也是一次隐私事件，而这个隐私还涉及到了信用卡，事关金钱，我想大家还更为关注。

像这次的事件，似乎目前也没有其他办法，大家可以选择先冻结信用卡，使用新卡。

另外，大家也可以关注这个问题，看看有没有更好的处理办法

携程信用卡信息被泄露，除了更换信用卡还有什么别的好方法处理么？http://www.zhihu.com/question/23131107

当事件发生的时候，如何去保护自己的隐私呢？

在互联网厂商方面，不应该保存用户的如信用卡的这些隐私资料，当在必要的情况下，应该对用户的隐私安全负责。

而作为用户或者作为普通网民，我们又何如去保护自己的隐私？

本来准备跟大家讲讲经验，不过笔者看到一篇来自月光博客的关于保护隐私的文章写的不错，直接把内容摘过来了。

以下引用内容来自：http://www.williamlong.info/archives/1042.html

1、不要在网站提交个人信息。这一点是至关重要的，自己的隐私通常是自己无意中泄露出去的，因此不要轻易在网站上提交自己的信息，除了银行网站，著名的电子商务网站之外，其他网站都不要提交自己真实信息；举个例子来说，几年前你可能在5460同学录这个流氓网站录入过自己的个人信息，今天你会发现你的个人信息被复制到至少四、五个网站供人搜索查询。因此，在网站或社区系统提交自己真实信息的方法是不妥的。

　　2、发布文章，三思而后行。在网络上发帖子，写博客，不要因为你的博客访问人数少不会有人注意就写一些自己的隐私信息，一篇文章一旦发布出去，就无法收回来了，文章会被存档、转载、甚至散布到很多你永远都不知道的网站上，而搜索引擎的触角会找到互联网上的任何一个角落，因此，写文章前一定要三思而后行，如果你不希望某些人看到你的文章，那么就不要发布它，因为文章迟早会被别人看到的。

　　3、使用安全的密码。如果一定要在网络上保存自己的信息（例如电子邮件、私人日记等），那么一定要使用一个安全的密码进行保护，所谓安全的密码，通常情况下是长度多于6位，有字母和数字的不容易被人猜到的密码。

　　4、个人电脑的安全。自己使用的电脑，要有足够的安全设置，打上最新的操作系统补丁，启用防火墙，安装杀毒软件，不要访问任何钓鱼网站等等，确保个人电脑不被黑客入侵。如果发现有被入侵的异常情况，应该在第一时间内断开网线，然后再进行检测和修复。

　　如何查询自己的个人隐私是否已经外泄，这里也有一些技巧。

　　1、定期使用百度和Google搜索自己的真实姓名。重点查看前三页的内容，看看是否有和自己相关的隐私信息。

　　2、定期使用百度和Google搜索姓名+个人信息（如个人工作单位、学校、住址、电话号码等）。通过这种组合查询，能较为准确的知道自己信息外泄的情况。

　　如果个人隐私已经泄露，该怎么办？

　　1、如果是自己建立的网页或者填写的信息，那么直接登录网站进行删除操作。

　　2、如果发布在第三方网站，那么通过邮件或电话联系对方网站管理员，要求其删除个人隐私信息。

　　进过这些操作之后，就可以删除已经在网站上索引的个人隐私信息，但需要注意的是，百度和Google的网页快照依旧会保留这个信息一段时间（通常是几个月），因此最好能通知百度和Google要求其在搜索引擎的缓存里也将隐私信息删除。

简单点来说，简单点说，在网上的任何行为，包括注册帐号、发文章等等，能不用填写真实信息的就不要填写真实信息（有些地方要求填写真实信息，但是其实无关紧要的）。话说回来，上篇文章其实笔者也算自己犯了这点，把一些真实信息泄漏了（捂嘴），不过笔者那些都是大家周知的了。

看到隐私的各种问题，应该就有同学想着要把自己在网上的隐私、资料、痕迹之类的删除掉了。恭喜这位同学，已经有人想到了你同样的问题，并且已经在知乎上提问过了。

大家先去看看蘑菇发的文章：http://mp.weixin.qq.com/s?__biz=MzA3NDMwODAyNg==&mid=200240216&idx=1&sn=da7d6e275d9cb849231934153cf093c3#rd（如何完全抹除自己在网上的痕迹）

然后说说自己的想法，说实在的，完全抹除痕迹，基本是不可能，除非你是个刚接触电脑的，就注册了那么一两个帐号啥的，才有那可能性

大家平时在上网的时候多注意点自己隐私的问题，别觉得反正我也没钱，又不是高富帅，无所谓。

当用户隐私已经越来越受普通网民跟大众关注的时候，我想厂商应该更多的去想想如何保护用户的隐私而不是如何赚钱了。