金掌柜-您的贴心管家

>> 返回新闻中心

携程信用卡泄漏事件带来的支付体系思考
2014-03-31 15:19:04 来源:电子工程专辑
分享到:

       最近几天,关于携程信息泄漏事件炒得沸沸扬扬,一时间,仿佛整个世界都不可靠了,所有带支付功能的网站都是陷阱,更有甚者,周围很多朋友都在申请更换银行 卡期望将自己的银行 卡更换成更有安全保障的金融IC卡,以避免现有银行 卡交易流程导致的损失。作为携程网的钻石客户,我当然第一时间也换了信用卡。但是,换卡后,我冷静下来思考后,觉得这件事有些过度营销。于是我采访了国内金融IC卡领先厂商天喻信息的一名专家,他对整个支付系统的安全机制非常熟悉,并且也对国际上的安全支付体制非常熟悉,他认为此事确有些被携程的对手过度营销。“携程这件事有些被过度营销和解读啦。携程这种人工收集CVV码的做法是业界通用做法,海外也是这样。携程这次事件还真算是员工失误(以下详细解释)。携程在国内算是运营比较正规的了,有很多第三方支付的网站非法留下用户密码,才是最恶毒的,用户密码是任何机构都禁止保留的。”是啊,我想起去年夏天给儿子在美国租车,租车公司也是要告诉他们信用卡所有信息的,这还真是国际惯例。

  那么,这次携程信用卡事件到底揭示了哪些安全隐患?带来哪些反思呢?以下是他的观点:

  作为一名长期从事金融支付安全工作的业内人士,我认为携程信息泄漏事件所带来的反思应该是整个支付体系层面的,而不是单单一个卡片的问题。

  我们先来分析一下携程信息泄漏事件本身。从目前各媒体所披露的信息来看,事情的起因应该是携程的后台开发人员在做一个系统更新时,错误地将一个带有安全漏洞的调试版本更新到了正式平台上,且未能及时进行纠正,而乌云平台正好在这个时间监测到了这个漏洞,于是予以披露,一时间风声鹤唳,大家惊慌失措。

  其实,在任何系统中,做正式平台的更新测试都是正常的,银行的系统也会有定期更新升级的时候,只不过在这个更新过程中,会有非常严格的流程管理,更新前,会提前公告,更新过程中,会暂时停止交易,更新完成后,会进行检测保证所有程序都是Release版本,没有调试用的后门。明显这次携程的泄漏事件是因为开发人员没有遵守相关的流程导致的。本文为《国际电子商情》原创,版权所有,谢绝转载

  在安全体系中,分为密钥安全、算法安全、逻辑安全、管理安全四个层次,这次携程事件属于管理安全这个层次,只能表示携程在系统安全方面“欠管理”,不能表示系统的不安全性。事实上,类似这种通过信用卡账号和CVV码进行授权交易的方式本身就是国际通行的方式,在系统后台保留信用卡信息和CVV码一方面是系统运维方与银行进行结算的需要,另一方面避免用户在每次交易中都反复输入账号、交易密码、CVV码等敏感信息,也是从安全(毕竟一般来说,用户的个人电脑远没有系统服务器安全)和用户体验出发所进行的设计,基本上所有的系统运维方都会采取这种方式以支持信用卡支付。正因为这样,在前几年发生的几起网络信息被盗事件中,都附带有信用卡信息的泄漏,如Sony公司2460万个人信息泄漏、美国零售巨头塔吉特公司4000万信用卡信息泄漏、澳大利亚50万信用卡信息泄漏事件等。 
关于汇卡联系我们新闻中心安全中心合作伙伴丨    客服热线400-686-6006  
广东汇卡商务服务有限公司 ©2003-2019版权所有  增值电信业务经营许可证粤B2-20120289 粤ICP备11093203号  粤公网安备 44010602002087号