存储用户支付信息、明文储存用户登陆密码……网址开展这种不标准实际操作,表层上是为了更好地出示更简约的步骤,本质上则是以放弃用户网络信息安全为成本。
携程被曝付款日志存有系统漏洞,用户银行卡账号可被网络黑客随意载入。这一件事儿造成的振动颇大,周边很多人第一时间拨通发卡银行,要求拆换透支卡或报失,因连接用户太多,一些银行客户经理电話还遭受占线,它是之前从没遇到过的。
虽然曝出信息的黑云漏洞平台在汇报时用语较为技术专业,但“可被随意黑客载入”几个字顾客或是懂的,这也是焦虑的根本原因。
事情产生后,携程在微博上说“向用户诚挚致歉”,合称系统漏洞已修补,服务承诺想要为将来因网络安全问题造成的用户损害担负赔偿义务。但在这一份“声明”中,对泄密的一些关键点却闪烁其辞,沒有面对的胆量。
例如,携程为何要“将用户付款的纪录用文字储存了出来”?在一月份曾有新闻媒体提出质疑携程网(49.49,0.01,0.02%)的付款安全系数,那时候携程确立回应说“携程网的后台管理不容易纪录用户的支付信息”。是当时在说谎,或是之后又“受到影响”?网址不可储存CVV如今大部分是业界同行业的标准。
再例如,就算储存了用户信息内容,为何要用明文储存?2012年CSDN泄密,造成普遍思考的,便是网址不应该用明文存储用户登陆密码信息内容。经验教训这般比较严重,携程再次发生这类不正确,确实不应该。
有关网址在用户付款全过程中该怎样维护用户信息内容,世界各国有关规范不仅一个,国际性上较为权威性的是PCI-DSS(第三方支付领域网络信息安全规范),添加此规范验证的公司都需要接纳苛刻的本年度安全风险评估,而且每一个一季度都是在接纳PCI验证规定的ASV缺点扫描仪。但中国积极开展此项验证的网址仅仅极少数,去年年底,也有新闻媒体无法在携程上寻找PCI-DSS验证标志。
携程是领域大佬,也是上市企业,竟然也在安全隐患上犯那样的低等不正确,只有说沒有把用户的权益放到第一位,另外也体现出当今我国商业界总体安全性意识淡薄的现况。存储用户支付信息、明文储存用户登陆密码……网址开展这种不标准实际操作的情况下不一定心怀邪念,他们许多仅仅为了更好地出示更简约的步骤,以表层上更强的感受吸引用户,便于在市场竞争中获得领先水平,但本质上,则是以放弃用户网络信息安全为成本。
