來源:價值中國 作者:張平
攜程網在信息泄露事件中究竟錯在哪兒?
近日,攜程網可能泄露部分用戶支付信息的事件引起眾多關注。漏洞報告平臺烏云網稱,攜程開啟了用戶支付服務接口的調試功能,支付過程中的調試信息可被任意駭客讀取,可能導致大量用戶銀行卡信息泄露。事件發生后,攜程方面在微博上“向用戶誠懇道歉”,并稱已在兩小時內修復了這個漏洞,攜程用戶信息未受影響。
不過業內專家認為,攜程在“申明”中對泄密事件的細節含糊其詞,沒有直面錯誤的勇氣。盡管漏洞即刻就被修復,但事件引發的恐慌卻正在發酵,用戶們對“信息可被任意駭客讀取”的消息始終無法釋懷,如梗在喉。也有網民提出質問:攜程的廣告語是“攜程在手,說走就走”,可這“說泄密,就泄密”,將用戶的安全和利益置于何地?
細查這起“泄密”事件的原因,并非是交易方式存在問題,而在于攜程網違反監管規定,違規儲存了用戶的消息,給黑客盜用信息留下空間。這里所說的用戶信息包括指持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡BIN等重要信息。
攜程事件不僅影響到其自身的信譽度問題,也給第三方支付安全敲響了警鐘。為了提高安全性,前不久,工、農、中、建等四大銀行分別高低快捷支付額度;就在稍早之前,央行還暫停了虛擬信用卡和二維碼支付。
但是筆者認為,限制快捷支付的額度,并不能增強用戶在交易時的安全性。假如支付方式本身存在漏洞,即使降低了支付額度,這個漏洞依然存在,消費者的資金安全同樣無法保障。那么在攜程信息泄露事件中,該網站存在著什么問題值得反思的呢?
首先,攜程網沒有汲取好歷史教訓。類似攜程的泄密事件絕非個例。2012年CSDN事件在前,兩年后攜程事件歷史再現。只不過CSDN被泄密的部分是歷史數據庫,不是金融數據;此次攜程泄密的是正在支付的數據,是用戶的銀行卡信息。所以,攜程泄密的后果可能比CSDN泄密事件的后果要嚴重。在CSDN事件之后,無論是用戶,還是網站平臺,對于用戶的個人信息安全問題,是互聯網發展的硬傷。
在此攜程事件之前有CSDN泄密事件,而事后又有美國國家安全局曾經入侵到中國企業華為總部的服務器,并試圖取得機密信息,所以攜程網應該以此引以為戒。根據烏云平臺及攜程方面的申明,這次用戶的個人支付信息,比如攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息都可能遭外泄。這也是為什么很多用戶心急火燎地著急更換信用卡的原因所在。
再者,快捷與安全,魚與熊掌不可兼得。攜程是為了提升客戶體驗,簡潔了支付流程,這雖然在競爭地位中獲得優勢。但實質上,這種優勢卻是以用戶安全為代價換來的。比如之前有媒體報道,攜程網會員如果多次購買支付酒店或機票價款后,只需提供卡號后四位及CVV2碼,攜程網就會完成下一次支付操作。這說明攜程網本身為了提供快捷簡易的支付方式,在用戶資金安全保障方面做得還有欠缺,同樣在用戶的信息資料存儲保留方面也心不在焉。在這種情況下,用戶信息很容易被駭客盜取。
最后,在攜程事件中,很多人覺得奇怪,為什么攜程要將“用戶支付的記錄用文本保存下來”呢?攜程沒有給出令人信服的解釋,但是按照銀聯2008年發布的《銀聯卡收單機構賬戶信息安全管理標準》2.1條,各收單機構系統只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息,不得存儲銀行磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。而攜程存儲用戶信息,甚至明文保存用戶密碼的違規操作,顯然已經涉嫌違法。
筆者認為,攜程事件除了攜程網該受到應有的反思和改進之外,時下關于信息安全領域,分散的管理主體不僅降低了監管效率,也容易逃避責任。據統計,除了承擔信息安全監管工作的工信部,公安部、衛生部、食品藥品監督管理局、銀監會、證監會等部門都有規章文件涉及個人信息保護。責任主體的“九龍治水”,從而導致了立法的“前快后慢”。個人信息保護立法自2003年被納入立法規劃以來,依然沒有取得實質性進步。而攜程網式信息安全事件足以說明,立法保護的重要性和緊迫性,也為立法的遲滯不前再次敲響了警鐘。
攜程網信息安全事件,既說明了我國互聯網企業本身對客戶信息安全保護意識,對相關法律法規的學習力度有待加強,也說明了我國個人信息保護立法已經嚴重滯后,已到急待跟進的程度,退一步講,就算用戶信息因被駭客竅取,而蒙受損失,廣大互聯網金融用戶也難以拿起法律的武器保護自己應有的權益。 |
您的位置:
