視點
存儲用戶支付資訊、明文保存用戶密碼……網(wǎng)站進行這些不規(guī)範(fàn)操作,表面上是為了提供更簡潔的流程,實質(zhì)上卻是以犧牲用戶網(wǎng)路安全為代價。
攜程被曝支付日誌存在漏洞,用戶銀行卡資訊可被駭客任意讀取。這件事情引起的震動頗大,周圍很多人第一時間致電發(fā)卡銀行,請求更換信用卡或掛失,因接入用戶過多,一些銀行客服電話還遭遇佔線,這是以前從未遇到過的。
儘管爆出消息的烏雲(yún)漏洞平臺在報告時措辭比較專業(yè),但“可被任意駭客讀取”幾個字消費者還是懂的,這也是恐慌的根源。
事件發(fā)生後,攜程在微博上説“向用戶誠懇道歉”,並稱漏洞已修復(fù),承諾願意為未來因安全漏洞引起的用戶損失承擔(dān)賠付責(zé)任。但在這份“申明”中,對泄密事件的一些細節(jié)卻含糊其辭,沒有直面的勇氣。
比如,攜程為什麼要“將用戶支付的記錄用文本保存了下來”?在一月份曾有媒體質(zhì)疑攜程網(wǎng)的支付安全性,當(dāng)時攜程明確回復(fù)説“攜程網(wǎng)的後臺不會記錄用戶的支付資訊”。是當(dāng)初在撒謊,還是後來又“變壞”?網(wǎng)站不應(yīng)保存CVV現(xiàn)在基本上是業(yè)內(nèi)同行的規(guī)則。
再比如,即便保存了用戶資訊,為什麼要用明文存儲?2012年CSDN泄密事件,引起廣泛反思的,就是網(wǎng)站不應(yīng)該用明文存儲用戶密碼資訊。教訓(xùn)如此嚴重,攜程再犯這種錯誤,實在不該。
關(guān)於網(wǎng)站在用戶支付過程中該如何保護用戶資訊,國內(nèi)外相關(guān)標(biāo)準不止一個,國際上比較權(quán)威的是PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準),加入此標(biāo)準認證的企業(yè)都要接受嚴苛的年度安全評估,並且每個季度都在接受PCI認證要求的ASV弱點掃描。但國內(nèi)主動進行這項認證的網(wǎng)站只是少數(shù),去年底,還有媒體報道未能在攜程上找到PCI-DSS認證標(biāo)識。
攜程是行業(yè)巨頭,又是上市公司,居然也在安全問題上犯這樣的低級錯誤,只能説沒有把用戶的利益放在第一位,同時也反映出當(dāng)前中國網(wǎng)際網(wǎng)路界整體安全意識淡薄的現(xiàn)狀。存儲用戶支付資訊、明文保存用戶密碼……網(wǎng)站進行這些不規(guī)範(fàn)操作的時候未必心存惡念,它們很多只是為了提供更簡潔的流程,以表面上更好的體驗留住用戶,以便在競爭中取得領(lǐng)先地位,但實質(zhì)上,卻是以犧牲用戶網(wǎng)路安全為代價。
信海光(媒體人)
[責(zé)任編輯: 林天泉]
近日,浙江義烏一名男子在網(wǎng)上不斷炫富,還用百元大鈔點煙...
關(guān)注臺灣食品油事件