文/柳华芳

本话题探讨来自于今日乌云爆出的携程信用卡绑定方面的潜在安全问题,媒体不少已经跟进,这个事件的大体情况如下:

消息:安全漏洞预警平台乌云wooyun连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意还可读取,日志可以泄 露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。

在这个事件中,虽然携程很快修正了漏洞,但是我们看到了携程在处理信用卡信息方面有很多不合规、甚至有违法嫌疑的产品技术细节,这些对用户隐私权和信息安全的蔑视和亵渎让人毛骨悚然。携程绑定信用卡cvv码、身份证等核心信息,就等于取得信用卡的一切权限,一旦被黑客拿走,黑客可以任意刷用户的信用卡,这个环节的安全隐患十分可怕。更可恨的是携程保存用户信用卡关键信息并没有进行有效加密,这意味着一旦黑客在服务器上遍历目录,就可能大量获取直接可读的用户信用卡核心信息,同样,对于携程员工而言,他们从后台也存在直接看到用户信用卡核心信息的潜在可能性,携程这样的上市公司居然会出现如此低级的错误,有关法律部门应该追究携程是否主观故意的法律责任。

在用户隐私权不被携程尊重的同时,我们互联网行业同样要反思一个企业技术伦理的问题,携程为什么要存自己不该存的信息,为什么不进行有效加密,互联网企业要明白自己不是银行,没有权利看到用户的信用卡全息基础信息,可能企业有这样那样的借口或理由,但是,这时候企业是选择冒着高风险上线,而是选择尊重的基本权利,这是一个法律问题,也是一个企业技术伦理问题。

之前的CSDN和几大网站的拖库门,已经让网民看到了很多互联网公司的致命低级安全构架,无论是g层面的原因还是其他原因,企业都没有理由破坏最基本的技术伦理,互联网企业作为信息密集型企业,如果在信息安全的用户入口就出现低级错误,那么,用户就等于在互联网上裸奔了。对于网民而言,大家就应该用脚投票,一旦发现某些互联网站点或企业不尊重隐私和最基本的技术伦理,那么就要毫不留情地远离他们,永远地远离他们,这是他们应得的惩罚。

看到美国google等在与美国政府关于用户隐私方面不断地交涉和斗争,国内互联网企业也应该联合起来,破除一些影响最基本用户安全的错误政策,目前,马云、马化腾、雷军等都成为中央的座上宾,这些问题都可以提出来解决,而不是一味地沉默。

对于某些明知用户隐私危险、有技术能进行有效加密的企业和站点,如果故意想窥探或保存用户关键隐私信息,执法部门应该有所表示,因为这种情况下,很可能背后有黑色产业链,在黑产发达的中国互联网界里,什么无耻的人都有,某些知名互联网企业也参与利用木马插件等推广绑定自己产品,这几乎是常见的。

中国网民应该觉醒了,现在互联网服务几乎没有哪家是绝对不可替代的,哪一家耍流氓或亵渎你的隐私,你就要果断地永远抛弃他们,不需要宽容,不需要理解,让尊重用户隐私权利成为互联网和企业生存的最底线,这才能让整个环境更健康和安全。

5 Comments
  1. 携程客服 4年 ago

    您好,我相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现。 携程对于乌云平台发现的漏洞信息表示非常重视和感谢并将对于提供漏洞信息者给与奖励。对于此次漏洞事件如果有新的进展将持续通报。

  2. 柳华芳 4年 ago

    回复@携程客服:企业技术伦理问题不是你弥补漏洞就行了

  3. 学习分享

  4. 大成子 4年 ago

    前几天BLOG关评了么~ 大学日子留 http://www.haidimao.com

Leave a reply

电子邮件地址不会被公开。 必填项已用*标注

*

CONTACT US

We're not around right now. But you can send us an email and we'll get back to you, asap.

Sending

Log in with your credentials

Forgot your details?