谈谈携程支付日志泄漏与用户隐私_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > 谈谈携程支付日志泄漏与用户隐私

谈谈携程支付日志泄漏与用户隐私

 2014/3/24 11:50:47    程序员俱乐部  我要评论(0)
  • 摘要:话前聊一聊首先感谢大家的关注,发现前一篇文章发完后,互动多了,挺喜欢这种方式的。我是喜欢大家多跟我沟通,提问或者留言的,我很愿意回答大家的问题,也很愿意跟大家沟通,希望大家不吝赐教。以后也会更多的讲一些接地气的东西,比如以下这篇微博上的漏洞我比较喜欢经常去微博逛逛,因为经常能在微博上看到很多最新的消息和好的学习资料,刚在前一篇文章写完发布出去,习惯性的逛着微博,就看到了关于携程支付日志漏洞的微博。点进wooyun链接(http://www.wooyun.org/bugs/wooyun-2014
  • 标签:用户 用户隐私
class="topic_img" alt=""/>

  话前聊一聊

  首先感谢大家的关注,发现前一篇文章发完后,互动多了,挺喜欢这种方式的。我是喜欢大家多跟我沟通,提问或者留言的,我很愿意回答大家的问题,也很愿意跟大家沟通,希望大家不吝赐教。

  以后也会更多的讲一些接地气的东西,比如以下这篇

  微博上的漏洞

  我比较喜欢经常去微博逛逛,因为经常能在微博上看到很多最新的消息和好的学习资料,刚在前一篇文章写完发布出去,习惯性的逛着微博,就看到了关于携程支付日志漏洞的微博。

original="http://p2.zhimg.com/a3/ac/a3acb6f93a005ae67c5fdaa7313eb369_r.jpg" />

  点进 wooyun 链接(http://www.wooyun.org/bugs/wooyun-2014-054302#0-tsina-1-14334-397232819ff9a47a7b7e80a40613cfe1),可以看到漏洞的简介。大概的意思是说携程支付接口开启了调试,所有向银行验证信用卡信息的数据包保存在了服务器。另外又因为支付日志存储的服务器存在目录遍历漏洞,于是日志就可以被遍历。根据漏洞提交者的说明,而日志里可以获取到(以下复制自漏洞简介):

持卡人姓名

持卡人身份证

所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)

所持银行卡卡号

所持银行卡 CVV 码

所持银行卡 6 位 Bin (用于支付的 6 位数字)

  在漏洞信息的下方有这样一个被置顶评论,发了一个文章的链接携程网被疑储存用户信用卡信息存在泄露风险。

  在文章发布的时候,携程官网已做回复:


为什么要保存用户信用卡信息?这是一个值得关注的问题,而且早在 1 月份的时候就已经有暴露的端倪,却没有去处理。官方的回复明显不能让大家满意。让我们静待事情的发展。

  泄漏信息解读

  那么携程这次泄漏的信用卡信息又有什么用呢?

  我们先来看看泄漏的这些信用卡的信息:

持卡人姓名

持卡人身份证

所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)

所持银行卡卡号

所持银行卡 CVV 码

所持银行卡 6 位 Bin (用于支付的 6 位数字)

  前四者就不用多说了,相信大家一看就知道。

  信用卡 BIN,指的是发卡行识别码,英文全称是 Bank Identification Number,缩写为 BIN,比如工行的就是 62122。

  那么什么是 CVV 码?来看下百度百科的解释:http://baike.baidu.com/view/2324253.htm

  CVV 全称是 Card Verification Value,翻译过来就是卡验证值。看到验证这两个字,我想大家就应该理解它的重要性了。

  简单点说,就是如果知道你的卡号、和 CVV 码,就大部分情况下就可以直接付款了。

  看几篇文章:

  • 芜湖市民几分钟被盗刷 2 万信用卡 cvv 码不要轻易泄露__万家热线
  • 信用卡 CVV 码泄露易遭盗刷
  • 信用卡的第二密码——cvv 码你知道吗?
  • 信用卡密码成浮云 CVV 码是最后保障

  发了这么多文章,就是想告诉大家 CVV 码的重要性。

  所以大家可以想象,这次泄漏出来的信息意味着什么!意味着如果你在携程用信用卡消费过,如果已经有黑客把日志爬走了,那么他可以用日志里的那些信息直接让你替他付款。

  除了信用卡可能被刷,大家可以想想信用卡的其他作用,拿着你的姓名、身份证、信用卡信息可以做的坏事多了去了。

  当然,大家也没必要恐慌,可以继续关注事态发展,以上的情况都是在你的信用卡信息已经被爬取的前提下,只是想跟大家说明泄漏的信息的重要性,大家静待官方的回复。

  历史隐私事件

  何谓隐私?百度百科是这样解释的:"隐私是一种与公共利益、群体利益无关,当事人不愿他人知道或他人不便知道的个人信息,当事人不愿他人干涉或他人不便干涉的个人私事,以及当事人不愿他人侵入或他人不便侵入的个人领域。"

  今年以来,去年到今年来发生了挺多的隐私事件:

  1、360 上传用户隐私

  2、棱镜事件

  3、搜狗输入法隐私事件

  4、央视曝光高鸿股份软件侵犯隐私

  5、微信视频“泄漏”

  6、支付宝信息泄露

  ....

  先不论这些事件是否真实,但越来越多的关于用户隐私的事情被大众所关注

  这次携程的事件如果确认,那么也是一次隐私事件,而这个隐私还涉及到了信用卡,事关金钱,我想大家还更为关注。

  像这次的事件,似乎目前也没有其他办法,大家可以选择先冻结信用卡,使用新卡。

  另外,大家也可以关注这个问题,看看有没有更好的处理办法

  携程信用卡信息被泄露,除了更换信用卡还有什么别的好方法处理么?http://www.zhihu.com/question/23131107

  如何保障信用卡信息等隐私安全

  当事件发生的时候,如何去保护自己的隐私呢?

  在互联网厂商方面,不应该保存用户的如信用卡的这些隐私资料,当在必要的情况下,应该对用户的隐私安全负责。这次,携程作为落水鸭该被众人嫌弃了,而其他的互联网厂商估计也在各种检查。

  而作为用户或者作为普通网民,我们又何如去保护自己的隐私?信用卡安全?

  隐私方面的一些安全处理我就不多说,大家可以看 cos 的文章:用户隐私早沦陷了(二)

  今天主要跟大家讲讲如何保证信用卡的使用安全

1、任何信用卡,信用卡背面三位码一定要保护后,有必要的话可以用贴纸盖住或者直接刮掉(当然前提是自己记住)。

2、不要向任何人、在任何场所透露信用卡的信息,包括姓名、卡号、有效期等。

3、拿到新卡的时候在背面签名,使用签名消费而不是密码支付消费。一般而言,在信用卡没有密码的前提下,主要由商家比对签名来查核持卡人身份,在签名存在明显差异的情况下,商家无疑要对盗刷得逞承担主要责任

4、在出现卡丢失或者可能导致盗刷的情况下,如这次事件,应该第一时间挂失或者冻结信用卡。

5、如果可以,可以开通信用卡的消费提示,这样在被盗刷的情况可以第一时间得知,也可以第一时间联系银行处理。

6、不要在网吧等公共电脑使用网银进行网上交易。

7、在刷卡的时候如果是密码支付,注意遮挡,注意查看金额,另外不要随便丢弃刷卡的小票。

  有许多平时在生活中使用信用卡的注意事项,大家都需要注意,主要还是需要养成一定的安全意识。

  如何消除自己在网上的痕迹

  看到隐私的各种问题,应该就有同学想着要把自己在网上的隐私、资料、痕迹之类的删除掉了。恭喜这位同学,已经有人想到了你同样的问题,并且已经在知乎上提问过了。

  大家先去看看蘑菇发的文章:http://mp.weixin.qq.com/s?__biz=MzA3NDMwODAyNg==&mid=200240216&idx=1&sn=da7d6e275d9cb849231934153cf093c3#rd(如何完全抹除自己在网上的痕迹)

  然后说说自己的想法,说实在的,完全抹除痕迹,基本是不可能,除非你是个刚接触电脑的,就注册了那么一两个帐号啥的,才有那可能性

  为什么会有社工?为什么会有搜索引擎?...想想你就明白了

  然后想着抹除痕迹,倒不如想着用垃圾信息去覆盖痕迹(这里的覆盖可不是 update),把那些你觉得有影响的信息覆盖沉寂。把互联网想成一个大缸,你的那些信息及痕迹是一层沙,那么就继续往里倒其他的沙,那么想找到底部的沙就得费些功夫了。

  结语

  当用户隐私已经越来越受普通网民跟大众关注的时候,我想厂商应该更多的去想想如何保护用户的隐私而不是如何赚钱了。这次的携程事件,给广大互联网厂商敲响一个警钟。同时大家在平时生活、上网之中也应该加强对自己隐私的保护,特别是牵扯到个人金钱利益的,我想不用我多说大家也知道重要性。

  ---------------------------------后续-------------

  截止到 23 号,官方做了一个声明

  ----欢迎收听我的公众帐号,关注我的知乎专栏----

  知乎专栏:http://zhuanlan.zhihu.com/fooying

发表评论
用户名: 匿名