携程信息泄露事件敲响移动互联安全警钟

  携程信息泄露手机上网安全报警

  携程旅行周末过了信用卡信息披露事件,还是为所有正在无线市场狂欢的企业敲响了警钟。 3月22日,漏云报告平台无云网披露连续两次Cnet安全漏洞。利用者表示,由于携程启用了用户支付服务的调试功能,携程安全支付日志可以自由阅读,日志包括持卡人姓名,身份证,银行卡类型,银行卡号,CVV代码等信息。携程网此前发布的官方解释称,这个安全漏洞是由于技术开发人员为了排除系统故障而留下的一个临时日志,并且由于疏忽不及而删除。据知情人士透露,此次携程的安全漏洞,可能不是网页上的漏洞造成的,而是无线部门在手机APP产品调试过程中,保存日志并在Web.config中打开一个目录遍历的情况一旦你掌握了目录遍历,攻击者可以超越服务器的根目录访问文件系统的其他部分,访问受限制的文件或资源,或采取更危险的行为。腾讯科技携程昨天进行了这次咨询,但截至发稿时还没有收到相应的答复。蒙云云网联合创始人告诉腾讯科技,虽然官方的回复已经修复漏洞,但漏洞仍在细节保密期(45天),直到漏洞详情披露才能看到情况。业内分析人士认为,携程这一用户信息披露事件,可能会推动无线发展过快和变相。携程CEO梁建章去年回归后,首先重点是推出拇指+水泥战略,将更多的资源投入到移动互联网,所有最新的丰富的旅游产品都被赋予在手机领域的优先考验。梁健章表示,无线客户端代表移动互联网携程的突破将是一个关键点。在携程中,无线业务也被称为第二项业务。在移动互联网时代,与PC时代相比,企业对速度和效率的追求日益加剧,这使得不太符合企业利益的安全问题往往被忽视。梦得腾讯科技也表示,从之前的云情况报道来看,新兴的移动产品开发确实要特别关注隐私和安全问题。 CVV代码暂时存储争议:是否符合国际安全标准?携程安全漏洞担心携程保持用户的信用卡CVV / CVC代码违规,即所谓的CVV安全密码,信用卡背面签名卡背后的7位斜体的后三位数字,是一个用于网络和电话交易的安全功能,并且是高度机密的用户信息。汽车之家创始人李翔说,交易网站CVV相当于小时工偷偷分配你的钥匙,同时他也知道你的家所有的信息都存储在CVV用户的信用卡里,而且还泄露出来,第一个是基本的商业道德问题,后者是安全问题,在离线交易模式下,只要你掌握了信用卡号码,到期日,卡背面的3位CVV安全码可以完成交易,整个消费过程不需要任何密码验证。匿名安全专家告诉腾讯科技,根据乌云提供的信息,携程违反了银联之前曾经禁止CVC的规定,导致事件没有从根本上解决风险的可能。目前,用户只能检查自己的信用卡账单,了解自己的银行卡是否被盗用。 PCI SSC作为国际支付卡行业安全标准认证的最高等级,也明确禁止会员保存CVV编码,否则将被罚款。对于披露用户CVV信息事件,携程的官方解释有两个疑问:首先,为什么携程会保留用户的CVV信息,是否违法?携程官方表示,经过用户授权,携程将保存非CVV信息,不扣除CVV成功信息将可达7天,目的是为了降低用户成本,方便用户付款,符合PCI规定-DSS,携程已经按照国际信用卡付款安全标准要求加密保存信用卡信息。不过,值得注意的是,携程之前已经申请过,但未能通过PCI认证,我们无法通过第三方渠道获得是否携程严格执行PCI规定。对于为期七天的立场,付款人无论如何都表示,PCI将不允许保留CVV,这是铁律,一旦发现将予以惩罚。 MediaV首席技术官胡宁认为,携程可能不会有意存储CVV信息,但其数据传输以明文形式,并打开很长时间的联机调试功能,导致系统日志也清晰,但不及时清理,服务器还存储安全漏洞再次导致错误。其次,携程这个安全漏洞会影响到多少用户?携程官方表示,受影响的主要是3月21日和3月22日的一些交易客户,93位潜在用户已被告知更换卡,另外携程用户凭卡安全性不受影响。黑云联合创始人孟涛告诉腾讯科技,携程多长时间存在漏洞,何时何时发起攻击,已经造成用户流失的云仍不得而知。然而,由于担心潜在风险,不少用户表示正在微博,微信等社交平台上申请换取信用卡。易茂科技股份有限公司首席执行官Yanmao Jun在微博上透露,早在2月25日,他曾打电话给携程几次携程刷卡被盗刷了十几个外币事件,并怀疑携程网漏洞造成。燕茂军上个月向腾讯科技表示,他曾携带两个携带双币信用卡的银行刷了14张(大概总值1万元),但携程官方表示,上周末发生的事情是这样的,遇难者严格依然考虑自己也是漏洞的受害者,但是没有办法证明这一点。一直以来都是盗版问题,而且泄密的方式也有很多,所以即使携程用户刷卡后发生刷卡事件也难以确认是否存在漏洞。孟德这样说。腾讯科技呼吁各大银行信号信用卡中心表示,尚未收到携程官方公告的具体情况和对策通知,招行和民生银行信用卡中心工作人员告诉腾讯科技,携程信用卡信息暂不明白的具体信息,但如果客户担心私密信息被泄露,老卡会被冻结发送新卡。另外,业内人士表示,携程为了让自己的服务走的更快更容易,让用户在电话里跟客户说出信用卡和CVV2码的有效性等关键信息,同时也包含很多风险。当然,这种情况不限于携程,很多方便支付也有类似的风险,一个中国银联的技术负责人告诉腾讯科技,目前有两种主要的支付方式,包括订阅服务和普通的互联网个人服务,其中订阅服务风险较大。在进行互联网消费时,实际上不同的企业对消费者行为有不同的限制一般的互联网支付服务需要多种用户认证,比如发送验证码短信,用户需要手动进入网页才能完成支付,或者通过网页生成动态密码来完成。然而,携程的订阅业务对追踪最终受益者的需求比较宽松,例如,如果用户购买机票,火车票或酒店,还需要身份证作为补充验证方法,使得交易只需要支付链接中信用卡的CVC代码等信息,安全性仍然是行业风险近年来,各种用户信息泄露仍在不断涌现。 2012年CSDN披露事件引起广泛反映,该网站不宜用明码存储用户密码信息,因此北京当局甚至向CSDN网络运营商提出了具体的整改要求并作出行政性的警告处罚。去年10月,据云发布报道,由于第三方存储和系统泄露,汉庭等大量酒店打开客户记录。报道中,乌云暴露了在线下载酒店客户信息的过程,客户信息下载成功记录在酒店旅客的身份证上,入住时间,入住人数等隐私信息。随着移动互联网的兴起,包括身份,银行财产等相关数据和互联网应用在内的用户越来越具有约束力,增加了披露和威胁的风险,为了提高用户操作和消费的便利性,或加快产品开发过程,企业往往忽视安全性一位互联网上市公司的负责人告诉腾讯科技,无论是App还是Wap或Web,都只是前端产品形式,数据源只能被调用一次。一般是在网络测试机内部发布给外部网络的出版人员,每个环节都有QA测试,但是在严格的控制或者th为了追求速度,程序员会暂时修改网络外的产品,这样做是非常危险的,因为你跳过了控制流程,跳过了发布者(不仅仅是产品开发),失去了各方面的控制和安全。现在手机支付前端手机病毒的风险主要是监控输入数据或手机信号被劫持,风险相对容易控制,在企业端口最大也最难控制风险,是互联网层面的数据安全级别不要跟上财务级别的数据安全问题。一位企业技术高管认为。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:九卅娱乐app|手机版--通信技术