关于携程的信用卡信息泄露

可能很多朋友比较关心昨天乌云爆出的携程信用卡信息泄露的漏洞。具体过程我就不赘述了，因为明天肯定是铺天盖地的新闻。媒体是不会放过这样的机会的，虽然他们可能并不了解真正发生了什么。

 

但媒体的动作却放大了这件事情的负面效应，不知道明天携程的股价会不会因此受影响。

 

这次的事件很多评论文章都没有提到PCI-DSS标准，其实通过这个简单的维度就可以判断哪篇评论靠谱，哪篇不靠谱。PCI-DSS是「第三方支付行业数据安全标准」，由VISA与MasterCard牵头制定。凡是要做第三方支付业务，想在美国上市，必须要过这个标准。而在PCI-DSS标准中，明确的定义了如何实施数据保护，以及哪些信息是可以保存，哪些信息是不能保存（尤其是明文保存）的（比如CVV等敏感信息）。因此携程这次是明确的违反了PCI-DSS的相关规定。

 

因为携程在上市的时候肯定是通过了PCI-DSS标准的，由此也可以看出一些安全标准从实施到维持是何等的艰难。而「安全标准」、「合规」的要求现在已经沦落为一门生意，含金量越来越低。实施PCI-DSS的安全公司可能会给客户提交一大堆文档，但真正认真去落地的公司越来越少了。所以通过了安全标准并不意味着什么，只是花钱买了个牌照而已。比如PCI-DSS的要求会产生很多衍生的安全需求，而VISA也投了一些安全公司，他们把这里面的大部分利益给分了。在利益关联之下，对认证的审核必然不会太过严格。

 

这次的事件按照携程官方的解释是出于调试的目的记录了临时日志，共涉及到93名用户，未发现其他数据泄露。我相信这个漏洞的提交者「猪猪侠」并不会将这部分数据用于恶意用途，因为他在业内的口碑非常好，且如果想这么干，就不会把漏洞提交给乌云了。但携程是否还存在其他问题却不得而知。

 

对于用户而言，可能会产生恐慌心理而要求银行更换信用卡。但除非你以后不再用网上信用卡支付了，否则类似的问题短期内还是很难避免。我相信还有很多公司比携程做的更糟糕，更缺乏规范，特别是一些还没有上市，没有通过PCI-DSS认证的公司，只是这些问题没有被暴露在阳光下，因此你不知道而已。

 

对携程来说，这次的事件与其说是技术上的漏洞，不如说是信誉上的危机。同时也让我们看到了安全的重要性：建立用户信任可能需要若干年，毁掉它却只需要一天。

 

（今日题图：Innocenceat its Best，作者：Anuj Anand）

 

=== 道哥的黑板报 ===

 

微博ID：aullik5

 

交流、提问可直接回复消息，每条都看，但不一定每条都回。

回复m查看推荐文章。

历史文章存放在：http://taosay.net 

原文始发于微信公众号（道哥的黑板报）：关于携程的信用卡信息泄露