視點(diǎn)

　　存儲用戶支付資訊、明文保存用戶密碼……網(wǎng)站進(jìn)行這些不規(guī)範(fàn)操作，表面上是為了提供更簡潔的流程，實(shí)質(zhì)上卻是以犧牲用戶網(wǎng)路安全為代價(jià)。

　　攜程被曝支付日誌存在漏洞，用戶銀行卡資訊可被駭客任意讀取。這件事情引起的震動頗大，周圍很多人第一時(shí)間致電發(fā)卡銀行，請求更換信用卡或掛失，因接入用戶過多，一些銀行客服電話還遭遇佔(zhàn)線，這是以前從未遇到過的。

　　儘管爆出消息的烏雲(yún)漏洞平臺在報(bào)告時(shí)措辭比較專業(yè)，但“可被任意駭客讀取”幾個(gè)字消費(fèi)者還是懂的，這也是恐慌的根源。

　　事件發(fā)生後，攜程在微博上説“向用戶誠懇道歉”，並稱漏洞已修復(fù)，承諾願(yuàn)意為未來因安全漏洞引起的用戶損失承擔(dān)賠付責(zé)任。但在這份“申明”中，對泄密事件的一些細(xì)節(jié)卻含糊其辭，沒有直面的勇氣。

　　比如，攜程為什麼要“將用戶支付的記錄用文本保存了下來”？在一月份曾有媒體質(zhì)疑攜程網(wǎng)的支付安全性，當(dāng)時(shí)攜程明確回復(fù)説“攜程網(wǎng)的後臺不會記錄用戶的支付資訊”。是當(dāng)初在撒謊，還是後來又“變壞”？網(wǎng)站不應(yīng)保存CVV現(xiàn)在基本上是業(yè)內(nèi)同行的規(guī)則。

　　再比如，即便保存了用戶資訊，為什麼要用明文存儲？2012年CSDN泄密事件，引起廣泛反思的，就是網(wǎng)站不應(yīng)該用明文存儲用戶密碼資訊。教訓(xùn)如此嚴(yán)重，攜程再犯這種錯(cuò)誤，實(shí)在不該。

　　關(guān)於網(wǎng)站在用戶支付過程中該如何保護(hù)用戶資訊，國內(nèi)外相關(guān)標(biāo)準(zhǔn)不止一個(gè)，國際上比較權(quán)威的是PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))，加入此標(biāo)準(zhǔn)認(rèn)證的企業(yè)都要接受嚴(yán)苛的年度安全評估，並且每個(gè)季度都在接受PCI認(rèn)證要求的ASV弱點(diǎn)掃描。但國內(nèi)主動進(jìn)行這項(xiàng)認(rèn)證的網(wǎng)站只是少數(shù)，去年底，還有媒體報(bào)道未能在攜程上找到PCI-DSS認(rèn)證標(biāo)識。

　　攜程是行業(yè)巨頭，又是上市公司，居然也在安全問題上犯這樣的低級錯(cuò)誤，只能説沒有把用戶的利益放在第一位，同時(shí)也反映出當(dāng)前中國網(wǎng)際網(wǎng)路界整體安全意識淡薄的現(xiàn)狀。存儲用戶支付資訊、明文保存用戶密碼……網(wǎng)站進(jìn)行這些不規(guī)範(fàn)操作的時(shí)候未必心存惡念，它們很多只是為了提供更簡潔的流程，以表面上更好的體驗(yàn)留住用戶，以便在競爭中取得領(lǐng)先地位，但實(shí)質(zhì)上，卻是以犧牲用戶網(wǎng)路安全為代價(jià)。

　　信海光(媒體人)