携程到底怎么了?
“三人成虎”,这是今天晚上携程事件我唯一的感受。最开始我第一反应是,携程的信用卡数据被拖库了,所有在携程上的信用卡数据都面临泄露的风险。很多朋友在微信群聊中相互提醒和询问,“有没有携程信用卡”,“快点去注销所有在携程用过的信用卡”,“招行已经开通携程上相关信用卡注销换卡的绿色通道”,等等消息此起彼伏。
遗憾的是,抛开技术bug问题,携程在这场危机中表现的并不专业,给出的信息并不令人信服。遮遮掩掩的态度,反而让更多的人群心里,坐实了“携程上用过的信用卡都不安全了”的想法。
同样遗憾的是,科技类媒体,在携程信用卡门的事情上,就如同MH370事件中的表现。反而是财新网的报道,解释了一些关键技术问题,并引用了MEDIA V CTO胡宁的微博分析,提供了相关的知识和分析。
在过去的几天里,携程的信用卡数据到底发生了什么?我在携程上用过信用卡,是不是一定要换卡?携程犯的错误是不可饶恕的么?这些最核心的问题,没有人给予回答。
1. 携程信用卡门,到底发生了什么?
乌云的描述,“该漏洞来自于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。”
乌云的描述非常技术,这也是导致大众认为携程信用卡数据全部泄露的重要原因。
请注意描述中,“所有支付过程中的调试信息可被任意骇客读取”。换句话说,携程的信用卡数据,并不存在所有历史数据被拖库的风险,只有正在支付的数据,才有被盗取的可能。
仅仅针对乌云曝出的风险,只有从这一漏洞产生时,直至3月22日晚上11点左右,携程反馈已经修复漏洞后,这一段时间在携程支付过的信用卡存在风险。
从这里来毛估估一下,如果你有一年以上未使用过携程,那么仅仅针对乌云漏洞,你应该是安全的。
个人从非孤立信源得到的消息是,这个安全漏洞产生,与近期开发调试有关。
这个近期到底有多近,我也不知道。携程公布的信息是,对3月21、22日部分客户有风险。
坦率的讲,大多数人应该都不太相信的,哪里有那么巧的事情,22日发现的风险,就影响两天。不过,我个人内部的信源告诉我,这个漏洞出现,初步看来在一周以内。至于为什么携程公布21、22日两天有风险,据说是对相关日志的分析结果。
结合来看,个人供参考意见,如果一周内未在携程有过支付行为的话,仅仅针对乌云的漏洞,你的信用卡应该是安全的。(这只是根据我个人得到的消息分析。)
2.我需要立即更换信用卡么?
这是一个很难的回答的问题。
个人建议如果在一周内使用过携程,特别是21、22日两天的用户,可以选择换卡,并等待携程进一步公开的信息。
超过一年以上未使用过携程的用户,没有必要跟着起哄。
一年到一周之间的用户,个人认为风险并不大,但是如果你一定一定非常纠结担心害怕,那么暂时申请冻结好了。如果不冻结,那么可以选择开通消费短信提醒等信息,帮助加强安全管理。
3.虽然我是可能面临风险的用户,但是我很懒,不想换信用卡可以么?
没有什么不可以,只是可能面临风险。管理上,面对风险的处理有三种方式,规避风险、降低风险和接受风险。不换信用卡,意味着你接受了风险。
如果你真的真的很懒,那么建议设置网银单笔消费额度或者上限,开通短信或者微信提醒等方式以降低风险。
4.携程的处理过程,有什么问题?
坦率的讲,携程的声明并未给出风险提示,这是非常不明智的,并且携程声明给出的结果并不透明,让人难以信服。让我们来看看携程的声明:
“在得知该消息后,公司即展开了技术排查并在消息发布两个小时内修复问题。携程对乌云平台发现漏洞信息表示感谢,并将对于提供漏洞信息者给予奖励。对于此次漏洞事件,如有新进展,携程将持续通报。可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的核查工作,如果有用户因该漏洞造成财产损失,携程将赔偿损失。”
(1) 携程没有透露这个漏洞是什么时候为什么产生的,那么携程的21、22日就很容易被看成是一种掩饰。
(2) 携程没有提示用户可能的风险,而说目前尚未发现造成损失,这有些玩弄文字游戏,推卸责任。
(3) 携程说如果有用户因为该漏洞造成损失,携程将赔偿。那么请问这个损失如何界定?用户因为恐慌而换卡带来的损失,算是这个漏洞造成的么?按携程的字面意思,似乎不会赔偿,但是用户会接受么?
携程,应该详细的公布漏洞产生的原因,时间,并提示用户可能的风险。同时详细说明,为什么进过这些分析后,确定了这些用户可能有风险,携程建议用户如何规避或者降低风险,发生后携程能够为这些用户做些什么?如果携程想要漂亮一点,应该承担风险客户换卡的成本,最不济发个抵用券啥的。否则,用户只会在猜疑中远离携程,如果不信,有谁能够看到招行最近三天的换卡量,就可以知道了。