关于携程漏洞的五个基本问题,别拿PCI DSS说事!

携程信用卡信息泄露事件昨日曝光后持续发酵,由于携程用户数量巨大,且在在线旅游业OTA行业树大招风,各路好汉番茄鸡蛋一起招呼,使得此事件大有闹剧化和狗血化趋势。一些不明真相的群众受到别有用心的煽动,开始对用卡安全产生担忧,以下安全牛不代表任何一方利益,仅仅摆一摆几个基本事实和问题:

  

  一、在乌云平台上曝光的携程漏洞是什么?

  携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户的支付记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意黑客读取。

  谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户的信息曝光,包括:持卡人姓名身份证、银行卡号、银行卡CVV码、6位卡Bin等非常敏感的内容。

  二、漏洞产生的原因,是开发环节安全管理事故?

  关于漏洞产生的原因,携程官方的解释为:技术开发人员为了排查系统疑问,留下了临时日志,因疏忽未及时删除。不过MediaV公司CTO胡宁通过微 博批评称:“数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞”。

  而据腾讯科技报道,知情人士透露携程此次用户信息泄露事件可能是无线研发推进过快而变相导致的。

  某互联网上市公司CTO接受媒体采访时表示,不管是App还是Wap或Web,都只是产品的前端表现形式,所调用的数据源必然只有一个。新产品的上线流程一 般是 “开发机——内网测试机——发布员发布到外网”,每个环节都有QA测试,但在紧急或意外情况下,程序员会临时去外网修改产品,这么做非常危险,因为跳过了 控制流程、跳过了发布员(跟产品开发不是一拨人)。

  携程是上市公司,应该有非常严格的控制,该CTO猜测是不小心把没有过滤好的内网代码目录发布到外网了。如果是这种发布错误,问题并不严重,也就是版本控制不力——但如果是有员工跳过流程直接修改,就是特大问题,因为这意味着产品失去了对各环节和安全的控制点。

  三、漏洞的性质:是安全漏洞还是违规操作?

  正如明朝万达董事长王志海所言:“携程用户信用卡及信息泄漏事件,携程旅 行网回复避重就轻,有漏洞能理解,信息不加密也可只算不重视用户隐私,重点是为什么要违规记录用户信用卡的cvv?作为号称经过PCI认证的知名电商不应该不知道这是违法行为吧?”

  至于携程是否违规,或者具体说是否违反所谓PCI行规,目前看还不是问题的重点,因为合规也未必就能保证数据安全。(参看第五条)

  四、漏洞真的修补了?

  关于此次信用卡信息泄露漏洞,携程官方的说法是:“经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户,而且携程已经修补了有关漏洞”。

  携程对数据泄露损害范围判断的依据是“经过排查,仅漏洞发现者做了测试下载”。真实情况如果真的如携程所言,那么此次事件的实际数据泄露范围相比携程的用户数量来说可谓微乎其微。

  但问题的可怕之处在于,虽然携程宣称已经第一时间修补漏洞,但是中国互联网的“携程们”擅长亡羊补牢式安全措施,包括所谓“盗刷赔付”,“头痛医 头,脚痛医脚”并不能从根本上解决其安全开发、安全管理、安全意识等多个环节长期存在的制度性“漏洞”,而这个根本性问题不解决,更严重的安全事故几乎不 可避免。

  五、PCI合规是救命稻草?

  携程安全漏洞曝光后很多技术流大V(当然也有不少来自携程的竞争对手)指责携程没有取得PCI DSS(指支付卡行业数据安全标准)认证资质。但实际上,由Visa、万事达和美国运通等信用卡企业制定的PCI-DSS标准规范根本无法应对今天的信息 安全新形势,例如美国第四大零售商Target去年12月创纪录地泄露了1.1亿美国人的消费信息(包括4000万信用卡信息),而受到黑客攻击的 Target和Neiman Marcus两家零售商都是PCI DSS标准的合规企业。Marcus的CIO在接受媒体采访时指出,Marcus采取了比PCI标准更高的安全措施,但依然没能阻止其用户信用卡数据被黑 客窃走并盗刷。

  Garnter安全分析师Avivah Litan曾指出:“Targtet信用卡数据泄露表明,PCI标准中没有任何一条内容,能够帮助Target侦测并组织黑客的入侵。”

  而PCI顾问James Huguelet则指出:PCI标准最大的安全问题在于,该标准虽然要求对静态数据加密,但是并不要求企业对数据传输加密,也就是在整个交易流程链中,数据都未被要求加密。(这也就是携程为什么在漏洞出现后依然一口咬定自己遵守了PCI规范的原因,准确讲携程确实遵守了一个有着严重安全缺陷的规范,从这一点来看,PCI合规并非一件多么光彩的事情)

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/128206.html<

(0)
管理的头像管理
上一篇2025-02-25 01:09
下一篇 2025-02-25 01:10

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注