剛剛爆出的攜程安全支付日誌漏洞到底怎麼回事?

攜程某分站源代碼包可直接下載(涉及資料庫配置和支付介面信息)

是真的的話豈不是很嚴重?


談談攜程支付日誌泄漏與用戶隱私談談攜程支付日誌泄漏與用戶隱私 - Fooying - 知乎專欄


開發者和管理者毫無責任心的體現,以後在這些網站支付還是盡量用大的第三方平台吧,如果不接入,那麼這種網站不用也罷。


贊同fooying的文章

我補充一下解決方案

對於這個問題,其實不是用戶個人提高安全意識保護好自己隱私云云能解決的,

它的根源在於,

一,攜程安全防護做得不夠好,有漏洞,明文保存信用卡敏感信息這種事情也敢做,但坦白說,這其實不能強求,對這我已經看開了,業務總是怎麼方便怎麼來,他們只要用得爽,安全這個成本中心達到底線就行了。

二,銀聯竟然沒有做好第三方供應商審查。這其實才是民眾可以依賴的。銀聯明文規定,這些信用卡敏感信息,禁止存儲[1],什麼時候用什麼時候輸,居然還存在日誌伺服器,還明文。

協會的存在,就是要讓即使互聯網公司的安全做得一坨屎,你只要想做銀行業務,就要提升到這個水平,以此保證民眾的核心安全。從漏洞看來,並不是指攜程信用卡出問題,而是攜程的支付業務出問題,也就是說合作方不止中國銀行,而是整個銀聯。這個事情,就應該以「未能保護用戶通信秘密」及「未能保護用戶敏感信息」走法律途徑,也可以對不達標的限期整改否則禁止繼續接入銀聯業務,只有面臨業務癱瘓了才會知道重視。

攜程自個補補漏洞,明天還有別的漏洞照樣可以脫褲,治標不治本,在沒有停止存儲敏感信息的自覺之時連一句對敏感信息加密保護的承諾都沒有

[1]銀聯卡收單機構賬戶信息安全管理標準


推薦閱讀:

對於kali系統有什麼優點,以前沒接觸過linux,學這個會困難嗎?
代號為 『BadUSB』 的 USB 漏洞具體是何情況,有多大危害?
成為一個黑客需要多久?
白帽子報告漏洞到底是為什麼?
如何看出鑰匙中隱藏的數字密碼?

TAG:網路安全 | 黑客Hacker | 支付安全 |