當(dāng)前位置:工程項目OA系統(tǒng) > 領(lǐng)域應(yīng)用 > 公司管理軟件 > 企業(yè)管理系統(tǒng)
攜程網(wǎng)驚爆信用卡門事件,互聯(lián)網(wǎng)安全問題引發(fā)關(guān)注
攜程網(wǎng)在3月22日爆出的信用卡門事件,似乎在和上個周剛開完的315事件相互呼應(yīng)?;ヂ?lián)網(wǎng)安全問題再一次引起大家的重視。話說回來,互聯(lián)網(wǎng)的安全問題已經(jīng)存在不是一天兩天了,但是近幾年由于越來越多支付、購買等金錢相關(guān)行為在PC互聯(lián)網(wǎng)或者移動互聯(lián)網(wǎng)上操作,安全問題又進(jìn)入了大眾的關(guān)注焦點了。
事件回放:烏云漏洞平臺披露攜程網(wǎng)安全漏洞
3月22日傍晚6點多,互聯(lián)網(wǎng)漏洞報告平臺烏云網(wǎng)發(fā)布了一則重磅消息——攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能,使所有向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器,有可能被任意駭客讀取。
根據(jù)烏云的報告,漏洞泄露的信息包含用戶姓名、身份證號碼、銀行卡號和類別、卡CVV碼(即卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)、6位卡Bin(用于支付的6位數(shù)字)。換句話說,擁有了以上信息,就能完成整個上網(wǎng)的支付流程。
消息發(fā)布沒過多久,攜程網(wǎng)“信用卡門”就成為了口耳相傳的熱點話題。不少網(wǎng)友聯(lián)系銀行客服要求更換信用卡。“攜程出了事以后,剛掛失完兩個工行的,建行處理起來還比較麻煩,95533人工占線,三張在攜程用過的銀行卡準(zhǔn)備全部注銷!”某網(wǎng)友說道。
攜程致歉:沒有泄漏用戶信息,如有損失愿承擔(dān)責(zé)任并賠付
3月23日早上7點多,攜程在其官方微博上發(fā)布聲明:“對于烏云平臺發(fā)現(xiàn)的漏洞信息,攜程非常重視。消息一經(jīng)傳出,我們連夜徹查,并在兩小時內(nèi)修復(fù)了這個漏洞。據(jù)排查,除了漏洞發(fā)現(xiàn)人做了少量的測試下載并已全部刪除外,沒有出現(xiàn)惡意下載有關(guān)數(shù)據(jù)的情況,用戶在攜程的交易仍舊是安全的,用戶的信息安全沒有受到影響。事件發(fā)生后,攜程同各大銀行均取得聯(lián)系,經(jīng)核實,目前也沒有出現(xiàn)用戶信用卡被盜刷的情況。”
在攜程第一時間承認(rèn)“安全漏洞”存在的同時,仍有客戶在質(zhì)疑“漏洞”是怎樣產(chǎn)生的?攜程方面稱:“由于其技術(shù)人員之前為了排查系統(tǒng)疑問,留下了臨時日志,因疏忽未及時刪除,目前這些信息已全部刪除。”
那么這個日志里面存儲了什么信息呢?由于這個日志是支付接口記錄的(或許也有其他的非支付接口),里面包含有持卡人姓名,持卡人身份證,卡號,CVV碼,銀行6位Bin(用于驗證支付信息的6位數(shù)字)。這里面最要命的就是CVV碼,CVV碼是用來驗證支付方是否是用戶本人的驗證碼。換句話說,一般使用卡號和CVV碼就可以直接付款了。好了,這就意味著,如果有黑客在豬豬俠之前發(fā)現(xiàn)這個漏洞,獲取到支付日志,那么就可以使用支付日志上別人的卡號和CVV碼來付款購買貨物了。
3/23日,攜程在發(fā)現(xiàn)這個漏洞的時候發(fā)表聲明,說在發(fā)現(xiàn)漏洞之后的兩個小時,就已經(jīng)將漏洞修復(fù)了。并且在修復(fù)之后檢查日志下載情況,并沒有遭到惡意下載。對涉及存在潛在風(fēng)險的93名用戶,已經(jīng)告知了。
這個聲明的意思就是說,從線上調(diào)試模式開啟到調(diào)試模式關(guān)閉中間保存的日志中,只有93名用戶有記錄,其他用戶并沒有支付記錄。再者,這個日志并沒有被其他黑客下載過,也還沒有發(fā)生信用卡被盜刷事件。
這次攜程網(wǎng)泄露用戶支付信息事件正發(fā)生在傳統(tǒng)金融業(yè)與互聯(lián)網(wǎng)金融激烈博弈期間,以用戶安全為由,監(jiān)管部門正要對第三方支付施加諸多限制,在這個關(guān)鍵時期爆出這樣的事情,攜程可謂給央行想睡覺就送上了枕頭。
從用戶角度來看,不要只看一個事件而否定一個公司,而要看公司處理事件的態(tài)度。從這個信用卡門事件上來看,攜程處理的速度和態(tài)度還是很可以的。攜程提出的“如果有信用卡盜刷,公司全額賠付”,“漏洞懸賞500w”,“發(fā)現(xiàn)漏洞兩個小時處理”都是切中了用戶擔(dān)心和顧慮的點的。
互聯(lián)網(wǎng)給我們帶來便捷的同時必然帶來了安全問題。但是從本質(zhì)來說,安全問題不只是技術(shù)應(yīng)該要考慮的問題,而應(yīng)該是技術(shù),制度,信用機(jī)制一同發(fā)力的問題。企業(yè)中對技術(shù)、運營等需要制定一系列的規(guī)章制度,才能最大程度避免安全問題。當(dāng)然,這么說已經(jīng)是很空很大的套話了,具體怎么做還要看各個公司自己的了。
注:本文首發(fā)于時代光華資訊中心頻道,歡迎轉(zhuǎn)載,轉(zhuǎn)載請注明出處,違者必究!
相關(guān)鏈接:
企業(yè)管理 培訓(xùn)課程
從優(yōu)秀專才走向管理者
怎么才是好的企業(yè)管理者?
- 1企業(yè)管理:標(biāo)準(zhǔn)時間的構(gòu)成
- 2企業(yè)如何對待老員工
- 3企業(yè)管理:實物期權(quán)具有以下四個特性
- 4三招教你做好企業(yè)培訓(xùn)需求分析
- 54萬億助企業(yè)過冬
- 6“內(nèi)方外圓”的人性化經(jīng)營管理工作原則
- 7專業(yè)企業(yè)培訓(xùn)師的思考
- 8企業(yè)管理知識:人力資源和人力資本區(qū)別
- 9企業(yè)管理:項目融資
- 10企業(yè)為什么命短
- 11企業(yè)管理:二級市場的主要功能
- 12培訓(xùn)管理者在企業(yè)里應(yīng)該怎樣進(jìn)行員工培訓(xùn)
- 13中小企業(yè)如何有效提升培訓(xùn)效果
- 14企業(yè)管理:扁平化管理的優(yōu)點
- 15企業(yè)e-HR系統(tǒng)選型應(yīng)該注意什么?
- 16期間費用的控制
- 17財務(wù)管理小故事:肉在鍋里就行嗎?
- 18中小企業(yè)員工培訓(xùn)現(xiàn)狀
- 19對企業(yè)戰(zhàn)略的四種解讀
- 20戰(zhàn)略庫存控制:工作流管理
- 21企業(yè)培訓(xùn)課程的難點
- 22企業(yè)管理存在問題:重西方
- 23利潤預(yù)測的含義及盈虧分析
- 24向曹操學(xué)“兵貴神速”
- 25職場規(guī)劃小知識點:潛力因素理想職業(yè)之延續(xù)
- 26企業(yè)管理:國內(nèi)IPO審核的材料受理分發(fā)環(huán)節(jié)
- 27企業(yè)創(chuàng)新力培訓(xùn)
- 28未來企業(yè)的管理創(chuàng)新
- 29不給力老板常犯9種錯誤領(lǐng)導(dǎo)思維
- 30目標(biāo)清晰長遠(yuǎn)企業(yè)方可成功
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓