极客网3月24日(北京) 乌云平台日前指出携程信息安全漏洞问题。事件发生后,携程方面在微博上说“向用户诚恳道歉”,并称已在两小时内修复了这个漏洞,携程用户信息未受影响。但“申明”中,携程对泄密事件的细节却含糊其辞,没有直面错误的勇气。携程泄密的“余波”还在回荡中,这则“可被任意骇客读取”的消息总是无法消除用户心中的疑虑。
绊在同一块石头上的“好基友”
类似携程的泄密事件绝非个例。后有携程,前有CSDN.只不过CSDN被泄密的部分是历史数据库,不是金融数据;此次携程泄密的是正在支付的数据,是用户的银行卡信息。所以,携程泄密的后果可能比CSDN泄密事件的后果要严重。根据乌云平台及携程方面的神明,用户的个人支付信息,比如携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息都可能遭外泄。这也是为什么很多用户心急火燎地着急更换信用卡的原因所在。
2012年CSDN事件在前,两年后携程事件历史再现。在CSDN事件之后,无论是用户,还是网站平台,对于用户的个人信息安全问题,是互联网发展的硬伤。最引起业内外广泛反思的,就是明文存储用户密码信息的问题。而且北京有关部门甚至还因此向CSDN网运营公司做出行政警告处罚。携程可好,有了CSDN等多位前辈的前车之鉴,携程仍然无法成为“后事之师”.如此严重的教训后不过两年光景,携程在同一块石头上在次绊倒。典型的天作孽,犹可恕,自作孽,不可活。
携程在手,说走就走,说泄就泄
鱼与熊掌不可得兼,舍鱼而取熊掌也。便捷与安全不可得兼,舍安全而取便捷也。说起携程泄密时间的根本问题,只能说在利益选择问题上,携程“自私走一回”,最后“不留心”就被狠狠绊了一脚。
现在网络信用卡支付之所以发展迅速,与其异常简单的流程密不可分。比如之前有媒体报道,携程网会员如果多次购买支付酒店或机票价款后,只需提供卡号后四位及CVV2码,携程网就会完成下一次支付操作。表面上看,携程是为了提升客户体验,简洁了流程,在竞争地位中获得优势。但实质上,这种优势却是以用户安全上为代价换来的。
在携程事件中,被问到的问题最多的恐怕是携程为什么要“将用户支付的记录用文本保存了下来”.客观说来,在网络支付技术层面存在漏洞和缺陷,是不可避免的,如果因此遭到泄密,用户还可以找到为他辩解的理由。但是涉及到存储用户信息、明文保存用户密码,这类不规范操作,这就事关网络企业道德底线,和用户对网络企业的信任。
按照银联2008年发布的《银联卡收单机构账户信息安全管理标准》2.1条,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。携程存储用户信息,甚至明文保存用户密码的违规操作,显然已经涉嫌违法。“携程在手,所走就走”,“说泄密,就泄密”,将用户的安全和利益置于何地?虽说携程在操作中也许并没有存有邪念,但是放任的助长心态也多多少少反映出当前中国互联网界整体安全意识淡薄的现状。
“棱镜”再上桌面:网络安全,防君子不防小人
“棱镜”!这个关乎所有互联网隐私泄密事件的两个字眼,一经公开,就在全世界范围内“炸开”,引起了世界范围内的广泛关注。作为事件的主角,美国中央情报局前雇员爱德华·斯诺登,所透露出的很多信息,让世界各国,当然也包括我国,网络信息安全等产业堪忧!
据斯诺登称,自2007年的小布什时期开始,美国情报机构一直在九家美国互联网公司中进行数据挖掘工作。美国国家安全局也一直通过路由器等设备,监控中国网络和电脑。其中包括两个秘密监视项目:一是民众电话的通话记录;二是民众的网络活动。爆料还称,大家所熟知的谷歌、facebook、skype、youtube等九大公司遭到参与间谍行为的指控。并且之后,facebook、微软两公司首次承认,美国政府确曾向它们索要用户数据,并公布了部分资料数据内容。
据传,就在携程泄密事件之后不久,有媒体称美国国家安全局曾经入侵到中国企业华为总部的服务器,并试图取得机密信息。国际巨头华为也没能幸免于难。安全无小事,网络安全防不胜防。互联网信息安全的保护,就像是别墅周围的矮篱笆,只防坦荡荡的君子,防不了长戚戚的小人。
携程事件,剑指泄密法律空白
用户作为消费者,是《消费者权益保护》的保护对象。按照《消法》的规定,消费者在消费中享有安全权。这里的安全权不仅仅是指身体安全,也包括财产安全。携程明文保存用户密码信息的违规操作,违反银联规定,将用户的安全置于危险之地,用户的损失与携程脱不了干系。希望携程的承诺:未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付,将会兑现,也不枉负用户的“一往信任”.
携程泄密事件,我们要做德不仅仅是用户信息安全在网络“黑洞”面前的无力和无奈。除此之外,在法律层面,带给我们更多的是反思和警醒。关于用户信息安全,相关法律是否完善?网络安全中的刑事、行政、民事等各类法律关系能否界定?执法主体本身是否明确?用户信息泄露的归责怎样?被泄密的用户损失如何界定?相关主体是否提供了公平、安全的行为准则?相关行业是否形成了相应的行业标准?司法机关对于相关类型的新型犯罪和纠纷,是否有了最起码的司法准绳?谁有责任向用户普及最基本的网络安全常识?诸如此类的疑问,已经成为现时亟待回答的问题,这也已经足够给各个部门敲响维护用户信息安全的警钟。(本文为极客网读者投稿,作者:董毅智)
本文网址:
