攜程網(wǎng)的漏洞事件已經(jīng)在互聯(lián)網(wǎng)上炒得沸沸揚(yáng)揚(yáng)���,自從烏云網(wǎng)的消息一經(jīng)披露��,立刻一石激起千層浪�����,謾罵聲���、討伐聲一時(shí)百千齊作�,攜程網(wǎng)成了眾矢之的���。一時(shí)間�,全民像陷入了無意識(shí)狀態(tài)般將矛頭紛紛指向了攜程�。
細(xì)想一下用戶們的心情,幾乎了解這條新聞的人都曾使用過攜程網(wǎng)�,一聽到攜程網(wǎng)信用卡信息泄露這種關(guān)鍵詞,神經(jīng)肯定會(huì)變得高度緊繃��,這都是無可厚非的����,誰也不愿意拿自己辛辛苦苦掙來的血汗錢為攜程沒有做到位的保險(xiǎn)措施來買單。但是冷靜地想一想是不是這次事件的泡沫比事件本身更豐富?
這次事件的源于一位名為豬豬俠的白帽聲稱找到了“攜程安全支付日志可遍歷下載導(dǎo)致大量用戶銀行卡信息泄露(包括持卡人姓名身份證��、銀行卡號(hào)、卡CVV碼�����、6位卡Bin)�。一旦這些信息被不法分子掌握����,攜程用戶的信用卡將被任意盜刷。”不可否認(rèn)��,安全無小事���,我們不能否認(rèn)這對于黑客來說是個(gè)“利好”消息���,可能也真的有黑客在此之前就已經(jīng)蠢蠢欲動(dòng)了。消息經(jīng)媒體披露后更是令人惶惶不可終日�,于是有了凌晨四點(diǎn)撥至銀行的咨詢電話,有了等候更換信用卡的長龍��,這一切都是因?yàn)榇蠹乙呀?jīng)覺得自己“不安全”了�。
繼而,就是很多評論文章中所提及的PCI-DSS標(biāo)準(zhǔn)��,在PCI-DSS標(biāo)準(zhǔn) 中,明確的定義了如何實(shí)施數(shù)據(jù)保護(hù)���,以及哪些信息是可以保存�����,哪些信息是不能保存(尤其是明文保存)的(比如CVV等敏感信息)���。因此攜程這次是明確的違 反了PCI-DSS的相關(guān)規(guī)定。至于攜程面對為何保留了CVV敏感信息這個(gè)問題更是讓其百口莫辯��。這是它留給媒體的一個(gè)把柄�,也更讓廣大用戶的心始終惴惴不安。
我不想以每個(gè)網(wǎng)站都是存在漏洞的��,是絕對安全的����,只是其他網(wǎng)站僥幸沒有“躺槍”這種萬金油式的理由為攜程開脫,攜程確實(shí)犯了不該犯的錯(cuò)��,并且還運(yùn)氣很背得恰好撞到了高手的槍口上���,對此只能表示遺憾����。我們現(xiàn)在要關(guān)注的是攜程面臨抨擊、威脅和信譽(yù)度陡然下降時(shí)的態(tài)度和反應(yīng)���。面對用戶的質(zhì)疑和聲討�����,我們來看看攜程做出的回應(yīng):譬如針對93位“不幸命中者”獲得在此期間內(nèi)的賠償����,并在兩小時(shí)之內(nèi)修復(fù)了漏洞��。對于這次事件是否會(huì)引發(fā)何種“后遺癥”也在攜程考慮范圍之內(nèi)�。上周���,攜程已建立安全應(yīng)急響應(yīng)中心(sec.ctrip.com)����,并設(shè)立了總額500萬的信息安全獎(jiǎng)勵(lì)基金���,獎(jiǎng)勵(lì)為攜程找出漏洞的信息安全衛(wèi)士�����。同時(shí)���,攜程將邀請國際知名信息安全認(rèn)證機(jī)構(gòu)��,來共同保障用戶的個(gè)人信息安全��。攜程還是希望自己的系統(tǒng)更加安全可靠的���,只是這次重賞之下必有勇夫,也確實(shí)吸引了“高人”��。我們可以說在一些方面攜程確實(shí)做得不盡如人意��,但是它確實(shí)做了些什么�����。從某種層面上來說��,我們可能有點(diǎn)反應(yīng)過激了�,在發(fā)現(xiàn)此漏洞時(shí)這位發(fā)現(xiàn)者憑借著自己高尚的良知將其提交給了烏云網(wǎng),并且告誡我們“此漏洞可能導(dǎo)致信息泄露”而非信息已經(jīng)泄露,我們不用現(xiàn)在就懷著急迫的心情去銀行玩“接龍”�。
這次銀行卡信息泄露事件對于攜程來說是當(dāng)頭一棒,也恰是考驗(yàn)一個(gè)企業(yè)是否具備優(yōu)秀品質(zhì)的時(shí)刻��,從容應(yīng)對���,坦誠接受來自社會(huì)各界的指責(zé)和批判也許對于攜程來說是最好的選擇��,逆境之下的攜程如何抉擇�����,究竟是“東山再起”還是“一蹶不振”?讓我們拭目以待����。
