- 携程网在信息泄露事件中究竟错在哪儿?
- 2014年04月07日来源:中国连云港网
提要:业内专家认为,携程在“申明”中对泄密事件的细节含糊其词,没有直面错误的勇气。尽管漏洞即刻就被修复,但事件引发的恐慌却正在发酵,用户们对“信息可被任意骇客读取”的消息始终无法释怀,如梗在喉。也有网民提出质问:携程的广告语是“携程在手,说走就走”,可这“说泄密,就泄密”,将用户的安全和利益置于何地?
近日,携程网可能泄露部分用户支付信息的事件引起众多关注。漏洞报告平台乌云网称,携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意骇客读取,可能导致大量用户银行卡信息泄露。事件发生后,携程方面在微博上“向用户诚恳道歉”,并称已在两小时内修复了这个漏洞,携程用户信息未受影响。
不过业内专家认为,携程在“申明”中对泄密事件的细节含糊其词,没有直面错误的勇气。尽管漏洞即刻就被修复,但事件引发的恐慌却正在发酵,用户们对“信息可被任意骇客读取”的消息始终无法释怀,如梗在喉。也有网民提出质问:携程的广告语是“携程在手,说走就走”,可这“说泄密,就泄密”,将用户的安全和利益置于何地?
细查这起“泄密”事件的原因,并非是交易方式存在问题,而在于携程网违反监管规定,违规储存了用户的消息,给黑客盗用信息留下空间。这里所说的用户信息包括指持卡人姓名身份证、银行卡号、卡CVV码、6位卡BIN等重要信息。
携程事件不仅影响到其自身的信誉度问题,也给第三方支付安全敲响了警钟。为了提高安全性,前不久,工、农、中、建等四大银行分别高低快捷支付额度;就在稍早之前,央行还暂停了虚拟信用卡和二维码支付。
但是笔者认为,限制快捷支付的额度,并不能增强用户在交易时的安全性。假如支付方式本身存在漏洞,即使降低了支付额度,这个漏洞依然存在,消费者的资金安全同样无法保障。那么在携程信息泄露事件中,该网站存在着什么问题值得反思的呢?
首先,携程网没有汲取好历史教训。类似携程的泄密事件绝非个例。2012年CSDN事件在前,两年后携程事件历史再现。只不过CSDN被泄密的部分是历史数据库,不是金融数据;此次携程泄密的是正在支付的数据,是用户的银行卡信息。所以,携程泄密的后果可能比CSDN泄密事件的后果要严重。在CSDN事件之后,无论是用户,还是网站平台,对于用户的个人信息安全问题,是互联网发展的硬伤。
在此携程事件之前有CSDN泄密事件,而事后又有美国国家安全局曾经入侵到中国企业华为总部的服务器,并试图取得机密信息,所以携程网应该以此引以为戒。根据乌云平台及携程方面的申明,这次用户的个人支付信息,比如携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息都可能遭外泄。这也是为什么很多用户心急火燎地着急更换信用卡的原因所在。
再者,快捷与安全,鱼与熊掌不可兼得。携程是为了提升客户体验,简洁了支付流程,这虽然在竞争地位中获得优势。但实质上,这种优势却是以用户安全为代价换来的。比如之前有媒体报道,携程网会员如果多次购买支付酒店或机票价款后,只需提供卡号后四位及CVV2码,携程网就会完成下一次支付操作。这说明携程网本身为了提供快捷简易的支付方式,在用户资金安全保障方面做得还有欠缺,同样在用户的信息资料存储保留方面也心不在焉。在这种情况下,用户信息很容易被骇客盗取。
最后,在携程事件中,很多人觉得奇怪,为什么携程要将“用户支付的记录用文本保存下来”呢?携程没有给出令人信服的解释,但是按照银联2008年发布的《银联卡收单机构账户信息安全管理标准》2.1条,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。而携程存储用户信息,甚至明文保存用户密码的违规操作,显然已经涉嫌违法。
笔者认为,携程事件除了携程网该受到应有的反思和改进之外,时下关于信息安全领域,分散的管理主体不仅降低了监管效率,也容易逃避责任。据统计,除了承担信息安全监管工作的工信部,公安部、卫生部、食品药品监督管理局、银监会、证监会等部门都有规章文件涉及个人信息保护。责任主体的“九龙治水”,从而导致了立法的“前快后慢”。个人信息保护立法自2003年被纳入立法规划以来,依然没有取得实质性进步。而携程网式信息安全事件足以说明,立法保护的重要性和紧迫性,也为立法的迟滞不前再次敲响了警钟。
携程网信息安全事件,既说明了我国互联网企业本身对客户信息安全保护意识,对相关法律法规的学习力度有待加强,也说明了我国个人信息保护立法已经严重滞后,已到急待跟进的程度,退一步讲,就算用户信息因被骇客窍取,而蒙受损失,广大互联网金融用户也难以拿起法律的武器保护自己应有的权益。