從技術角度看,攜程到底犯了哪些錯?
理應說這次重大事件發生,攜程應當第一時間通知用戶,而不是通知烏云。看來攜程這次出大事了,那我想從技術角度看看攜程到底犯了哪些錯。
1、保存 CVV 等同于保存用戶密碼
進入支付金額這一流程,攜程只要求輸入身份證號、持卡人姓名、信用卡卡號、信用卡卡背面上三位 CVV 安全碼,交易就宣告成功,根本無需輸入信用卡密碼。
說的通俗點,CVV 安全碼等同于密碼,所以很多有戒備心的用戶都是在辦理信用卡后將后三位涂摸掉,以防刷卡時被人發現,就可以直接刷其信用卡的現金。
而攜程私自保存 CVV 安全碼的行為,其本質上就是在用戶輸入交易密碼私下留存的行為,這種行為也是銀行明文禁止的,攜程作為這樣一個大公司,居然私自保存用戶 CVV 安全碼,著實讓人不可思議。
2、明文保存
再將 CVV 安全碼同支付寶密碼,銀行卡密碼作對比,又暴露了什么問題?
首先任何網站的用戶的密碼都應當是經過不可逆轉的加密保存,無法明文保存,用非技術的話來說就是數據庫后臺工程師看到的用戶密碼都無法進行任何 操作,因為假設原來用戶的密碼是“123123”那么后臺密碼就可能是“SDF23KLFAS2323KK4”之類的經過復雜算法后的暗碼。
如果攜程此次是將 CVV 加密保存,那么就算是被檢查出有漏洞,也絕不會有太大危險。
我們再次回看 2011 年,CSDN 被爆明文保存密碼被拖庫事件:
(1)CSDN 帳號數據庫是明文保存密碼嗎?
2009 年 4 月之前是明文,2009 年 4 月之后是加密的,但部分明文密碼未清理;2010 年 8 月我來 CSDN 以后清理掉了所有明文密碼。所以從 2010 年 9 月開始全部都是安全的,9 月之前的有可能不安全。
(2)我的 CSDN 帳號是安全的嗎?需要修改密碼嗎?
如果你是 2009 年 4 月以前注冊的帳號,且 2010 年 9 月之后沒有修改過密碼,請立即修改密碼;
如果你是 2009 年 4 月以后注冊的帳號,且 2010 年 9 月之后沒有修改過密碼,建議修改密碼;
如果你是 2010 年 9 月以后注冊的帳號,不必修改密碼,但郵箱有泄露可能性;
如果你是 2011 年 1 月以后注冊的帳號,帳號,密碼和郵箱都非常安全;
從中說明了一件事,一旦用明文保存用戶信息有過一段時間,都是很危險的事情,哪怕你之后將明文改成了暗文,只要之前的數據被黑客得到過,都會遭遇極大危險。
3、無法兌現賠付承諾
可以試想一下,只要用信用卡支付過一次的攜程用戶都會遭遇到被刷卡的風險。而用戶解決的唯一方法就是換卡。攜程聲明中聲稱沒有用戶出現被盜的情況,但是還是通知用戶去換卡,只能說明心虛無疑。而一旦用戶的信用卡被盜刷,如果要想投訴攜程,恐怕攜程也不太可能承認,如果承認將會出現更大危機,而用戶也無法找到任何證據說明自己信用卡被盜刷是因為攜程的原因。
所以攜程關于“倘若發生安全漏洞并引起用戶損失,攜程將給予全額賠付。”的承諾只是一句漂亮的空話而已,在具體落實的層面是極難操作的。
4、危險可能已經發生
攜程該漏洞只是在烏云大牛豬豬俠發現后被補上,但完全不排除已經有其他高手早已將之攻破,已經在進行暗箱操作。
信用卡有支付限制,每天只能小額轉移,在大額轉以上還需要手機認證,但如果黑客坐擁如此海量攜程用戶,并且每天像是在羊群身上抽羊毛,用戶都不會覺得痛,只需要幾天時間,便可以將大量現金轉賬,仔細想想,這也是一件非常恐怖的事情。
這就像 CSDN 之前是用明文保存的用戶只要不修改密碼,就一定可以被黑客利用是一個道理,哪怕 09 年 4 月以后 CSDN 使用了暗碼保存也同樣沒用,這個數據庫已經拖出來了,已經無法挽回了。
是否攜程用戶的數據已經被其他黑客截取正在進行著地下轉移,我們都不知道,只希望還是不要的好。
所以奉勸曾經在攜程上使用過信用卡的用戶,以防萬一,還是趕緊換卡為妙。攜程自己都不敢百分之百保證安全,還是通知部分用戶去換卡,為了保險起見建議大家換卡,小心下一個被刷卡的可能就是你。
從遠期的人人,CSDN,天涯被曝拖出明文數據庫,再到近期的全球最大比特幣交易網站 Mt.Gox 被黑客盜走 75 萬比特幣,以及剛剛發生的攜程事件,這個網絡世界著實讓人感到不安全,我們需要交易需要服務,但同時我們也需要更加安全的平臺來保護我們的利益,而不是讓 我們隨時陷入恐慌之中。
<span id="shareA4" class="fl"> </span>
</div>