|
[color=rgb(34, 34, 34)][font=宋体][size=3][b]转自 小道消息 微信[/b]
[/size][/font][/color]
[color=rgb(34, 34, 34)][font=宋体][size=3]
[color=#3e3e3e][size=16px][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]今天的文章其实不应该写,因为携程信用卡泄露这事情已经有很多人写了,「小道消息」的默认策略是不写热点内容,所以这一篇算是破例吧,我将尽可能的说一点不一样的内容。[/size][/font][/color][/align][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]我不是专门搞安全的,只是因为跟不少安全行业的朋友比较熟,所以,昨天几乎是第一时间就看到携程在乌云上的漏洞信息了。之后顺手在微信朋友圈转了一条,然后过了一会儿发现这个事情发酵了。[/size][/font][/color][/align][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]接着看到有不少朋友们在讨论要不要换卡,有几位对信息敏感的朋友已经第一时间联系了银行申请了换卡。[/size][/font][/color][/align][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]再然后,已经看到有人在朋友圈发布所谓的「携程信用卡信息被盗」的内容,多少令人哭笑不得。[/size][/font][/color][/align][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]诸多信息里,我的一位朋友发的信息,我个人认为可信度比较高,就发了一条微博:[/size][/font][/color][/align][hr][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]携程的安全漏洞的小道消息「据说啊,是无线开了调试,存了日志,然后Web.config 开了目录遍历,才出的状况,主要是手机 App 这块出问题了。内部人员说用 Web 版本的没问题。」 用 Web 版本没问题? 是不是这样,自己拿主意吧。[/size][/font][/color][/align][hr][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]如果这个信息是真的话,那么,开了调试功能开了多久? 日志有多大? 如果调试功能开得很短,那么不太可能那么巧被白帽子黑客发现。所以,我个人认为时间恐怕够长的了,问题是周六发生的,携程这样的公司不会有人周六加班调试吧,最最起码一天以上吧,一天的时间会有多少业务量? 真的只有那么几笔?[/size][/font][/color][/align][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]我不知道。[/size][/font][/color][/align][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]我之所以说「自己拿主意」,其实还是怕误导别人,万一我说没必要换卡,别人信用卡被盗刷了怎么办?[/size][/font][/color][/align][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]今天携程的一位朋友微博上给我私信,让我看一下携程的公告并且给转发一下。公告里说「经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及 93 名存在潜在风险的携程用户。」我无法判断这个信息的可信度,所以也不想转发,因为这个公告很明显还有其他问题。[/size][/font][/color][/align][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]看起来,携程是没通过 PCI DSS 认证(至少我找不到携程通过认证的信息)。PCI DSS 这个缩写的全称是: Payment Card Industry Data Security Standard,这是一个全球通用的支付卡行业数据安全标准,国内的几个旅游服务网站,我只看到一家是通过了这个认证的。好了,科普就到这里,如果好奇的话,请自行搜索即可。携程公告里说「携程用户支付卡信息…均按照国际信用卡支付安全标准要求」,其实是没什么说服力的,至少你这次是出了问题的啊,这怎么说?[/size][/font][/color][/align][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]有些企业对客户信用卡信息的处理,大概是有其历史问题,比如通过电话客服的时候,我不止一次遇到过有某家银行客服要我提供全部的信用卡卡号,和 CVV。你索取我信用卡卡号就行了,要我的 CVV (信用卡安全码,Card Security Code) 做什么? 我怎么知道你会不会把我的信用卡信息泄露出去? 一般遇到这样的情况,我就拒绝提供。放心,客服业务流程一样能走通。别问我哪家银行了,就是号称服务好,但其实经常给用户发垃圾信息的那一家。此外,以前我还遇到在一些饭店吃饭,刷卡的时候,收银员把我的信用卡卡号码刮在小票上去,说是和银行活动验证用。其实银行的活动只需要验证后几位数字就可以,你保留全部信息做什么? 作为个人用户,对自己银行卡的信息最多也只能敏感到这样了。又不能不用信用卡。[/size][/font][/color][/align][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]一般来说,如果商家没有能力去保护用户信用卡信息,最好的办法就是尽可能的不要存储它们。如果你看过《掘金黑客》那本书,里面的一个细节就是,黑客们专门去入侵一些安全意识薄弱的线下商家的收银系统,把信用卡信息拿走。[/size][/font][/color][/align][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]携程这次的应对,总体上还是过得去的。比预期的要好,毕竟这是一家不那么互联网化的公司。如果要提不足之处,我想说其实携程没必要自己去弄一个安全应急响应中心,弄了也没有谁敢去你那里提交漏洞,万一被你抓了咋办? 最好的办法就是去乌云网站跟白帽子黑客们有效互动,比如创建正式的官方帐号,然后最起码要技术总监级别以上最好是 CTO (如果有的话) 去订阅最新安全信息,这样才可能有效地应对突发情况。对了,好好感谢一下发现漏洞的白帽子黑客。 我觉得这次事件对携程来说,这已经是最好的结果了。[/size][/font][/color][/align][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]另外一件比较重要的事儿,尽早通过 PCI DSS 认证吧。[/size][/font][/color][/align][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]声明:我手里目前不持有携程股票。[/size][/font][/color][/align][hr][align=left][color=rgb(51, 51, 51)][font=Avenir, sans-serif][size=17px]乌云(WooYun.org)是国内最大的第三方漏洞报告平台,这是个很重要的网站。如果你是互联网公司的技术负责人,最好早点去关注乌云的信息。对安全不重视,到头来吃亏的还是自己,我只能说到这里了。[/size][/font][/color][/align]
[/size][/color]
[/size][/font][/color]
|
|