• 七角七分博客欢迎大家光临

携程信用卡信息泄露这事儿

随笔 七七 10年前 (2014-03-25) 0个评论

今天的文章其实不应该写,因为携程信用卡泄露这事情已经有很多人写了,「小道消息」的默认策略是不写热点内容,所以这一篇算是破例吧,我将尽可能的说一点不一样的内容。

我不是专门搞安全的,只是因为跟不少安全行业的朋友比较熟,所以,昨天几乎是第一时间就看到携程在乌云上的漏洞信息了。之后顺手在微信朋友圈转了一条,然后过了一会儿发现这个事情发酵了。

接着看到有不少朋友们在讨论要不要换卡,有几位对信息敏感的朋友已经第一时间联系了银行申请了换卡。

再然后,已经看到有人在朋友圈发布所谓的「携程信用卡信息被盗」的内容,多少令人哭笑不得。

诸多信息里,我的一位朋友发的信息,我个人认为可信度比较高,就发了一条微博:

携程的安全漏洞的小道消息「据说啊,是无线开了调试,存了日志,然后Web.config 开了目录遍历,才出的状况,主要是手机 App 这块出问题了。内部人员说用 Web 版本的没问题。」 用 Web 版本没问题? 是不是这样,自己拿主意吧。

如果这个信息是真的话,那么,开了调试功能开了多久? 日志有多大? 如果调试功能开得很短,那么不太可能那么巧被白帽子黑客发现。所以,我个人认为时间恐怕够长的了,问题是周六发生的,携程这样的公司不会有人周六加班调试吧,最最起码一天以上吧,一天的时间会有多少业务量? 真的只有那么几笔?

我不知道。

我之所以说「自己拿主意」,其实还是怕误导别人,万一我说没必要换卡,别人信用卡被盗刷了怎么办?

今天携程的一位朋友微博上给我私信,让我看一下携程的公告并且给转发一下。公告里说「经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及 93 名存在潜在风险的携程用户。」我无法判断这个信息的可信度,所以也不想转发,因为这个公告很明显还有其他问题。

看起来,携程是没通过 PCI DSS 认证(至少我找不到携程通过认证的信息)。PCI DSS 这个缩写的全称是: Payment Card Industry Data Security Standard,这是一个全球通用的支付卡行业数据安全标准,国内的几个旅游服务网站,我只看到一家是通过了这个认证的。好了,科普就到这里,如果好奇的话,请自行搜索即可。携程公告里说「携程用户支付卡信息…均按照国际信用卡支付安全标准要求」,其实是没什么说服力的,至少你这次是出了问题的啊,这怎么说?

有些企业对客户信用卡信息的处理,大概是有其历史问题,比如通过电话客服的时候,我不止一次遇到过有某家银行客服要我提供全部的信用卡卡号,和 CVV。你索取我信用卡卡号就行了,要我的 CVV (信用卡安全码,Card Security Code) 做什么? 我怎么知道你会不会把我的信用卡信息泄露出去? 一般遇到这样的情况,我就拒绝提供。放心,客服业务流程一样能走通。别问我哪家银行了,就是号称服务好,但其实经常给用户发垃圾信息的那一家。此外,以前我还遇到在一些饭店吃饭,刷卡的时候,收银员把我的信用卡卡号码刮在小票上去,说是和银行活动验证用。其实银行的活动只需要验证后几位数字就可以,你保留全部信息做什么? 作为个人用户,对自己银行卡的信息最多也只能敏感到这样了。又不能不用信用卡。

一般来说,如果商家没有能力去保护用户信用卡信息,最好的办法就是尽可能的不要存储它们。如果你看过《掘金黑客》那本书,里面的一个细节就是,黑客们专门去入侵一些安全意识薄弱的线下商家的收银系统,把信用卡信息拿走。

携程这次的应对,总体上还是过得去的。比预期的要好,毕竟这是一家不那么互联网化的公司。如果要提不足之处,我想说其实携程没必要自己去弄一个安全应急响应中心,弄了也没有谁敢去你那里提交漏洞,万一被你抓了咋办? 最好的办法就是去乌云网站跟白帽子黑客们有效互动,比如创建正式的官方帐号,然后最起码要技术总监级别以上最好是 CTO (如果有的话) 去订阅最新安全信息,这样才可能有效地应对突发情况。对了,好好感谢一下发现漏洞的白帽子黑客。 我觉得这次事件对携程来说,这已经是最好的结果了。

另外一件比较重要的事儿,尽早通过 PCI DSS 认证吧。

声明:我手里目前不持有携程股票。

备注:乌云(WooYun.org)是国内最大的第三方漏洞报告平台,这是个很重要的网站。如果你是互联网公司的技术负责人,最好早点去关注乌云的信息。对安全不重视,到头来吃亏的还是自己,我只能说到这里了。

喜欢 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址