视点 存储用户支付信息、明文保存用户密码……网站进行这些不规范操作,表面上是为了提供更简洁的流程,实质上却是以牺牲用户网络安全为代价。携程被曝支付日志存在漏洞,用户银行卡信息可被黑客读取。这起事件引起了不小的震动。周围不少人立即致电发卡银行,要求更换信用卡或挂失。由于用户太多,一些银行客服电话占线,这是他们以前从未遇到过的情况。
尽管爆料的乌云漏洞平台将报告的措辞较为专业,但消费者对“任何黑客都可以读取”这几个字依然理解,这也是恐慌的根源。
事件发生后,携程在微博表示“诚挚地向用户致歉”,并表示该漏洞已修复,并承诺愿意为未来因安全漏洞造成的用户损失进行赔偿。但这份“声明”中,对于泄密事件的一些细节却含糊其辞,没有勇气直接面对。
例如,携程为什么要“以文本形式保存用户支付记录”? 1月份,有媒体质疑携程网的支付安全(49.49, 0.01, 0.02%)。当时,携程明确回复称“携程后台不会记录用户的支付信息”。到底是他一开始撒谎,还是后来“变坏”了?现在,网站不应该保存CVV 基本上是行业同行的规则。
再比如,即使保存了用户信息,为什么还要以明文形式存储呢? 2012年CSDN泄密事件引起广泛反思,网站不应以明文形式存储用户密码信息。这个教训太严重了携程不应再犯这样的错误。
对于网站在用户支付过程中如何保护用户信息,国内外有不止一项相关标准。国际上比较权威的是PCI-DSS(第三方支付行业数据安全标准)。加入该标准认证的企业必须接受严格的要求。年度安全评估,并每季度扫描PCI 认证所需的ASV 漏洞。但国内只有少数网站主动进行了此项认证。去年年底,有媒体报道称,在携程上找不到PCI-DSS认证标志。
携程是行业巨头,也是上市公司,却在安全问题上居然犯了如此低级的错误。只能说没有把用户的利益放在第一位,也体现了目前我国互联网行业安全意识的薄弱。存储用户支付信息、以明文形式保存用户密码……网站在进行这些不规范操作时未必有恶意。很多只是为了提供更简单的流程,以看似更好的体验留住用户,以便在竞争中获胜。但本质上,领先地位是以牺牲用户网络安全为代价的。