那么,从专业角度来讲,携程到底犯了什么错?
这个事件最早被曝光是在乌云平台上的一个漏洞概述:由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意人读取。
作为一个上市公司,类似开发人员的疏忽,不应该影响整个网站的安全信誉,相信携程一定会重视和警惕此类事件。然而很多网站有潜在泄露我们隐私的风险、明文传输和保存私密信息的情况,因为国内的安全意识还处在上个世纪的水平,直到去年安全行业火了一把后,大家才开始注重网络安全。很多用户在上网的时候,并不会较真一些网站的声明,而采取了默认的信任。而在国外,只要涉及敏感用户隐私的网站,都需要一个非常复杂的声明。声称绝对不会存储不该存储的信息,也不会向用户询问隐私信息(反诈骗提醒)。
在国外,身份窃取或者是信用卡诈骗都是联邦重罪,为了预防和打击可能的犯罪,信用卡公司和金融机构每年投入大量的经费,联合治理网络支付安全。其中最著名的是PCI-DSS,意预防信息泄漏。据悉,“PCI DSS”是目前国内安全支付产业的最高标准,能通过绝非易事;而且每3个月都需要更新一次。
据介绍PCI安全标准委员会的创始成员制定并维护的一套保护持卡人数据的技术和操作的基本安全要求措施。通过审核并持续维护PCI DSS标准的合规,可以有效降低网站发生数据泄露的风险,保护支付数据的存储和传输安全。
值得注意的是,因为PCI标准的审核非常严格,且会落实到具体的技术实现细节,目前在国内,只有为数不多的企业通过了该项标准的合规评估和验证,而去哪儿网为目前国内唯一一家通过该认证的旅游预订平台。
作为早已通过PCI认证的通过方,去哪儿网CTO吴永强表示:“去哪儿网早在2012年12月就已顺利通过PCI认证,表明去哪儿网的系统在安全管理、网络系统结构、软件设计等方面,能够全面保障用户的交易安全。业内对于PCI认证的权威性都是一致认同的,但由于它对消费者隐私信息加以保护的过程,消费者大多无法感知,而合规认证本身又极为严苛,所以从成本上和技术实力上的考虑,不少公司都不愿在此项目上做过多投入。”
吴永强还强调,去哪儿网一直在此项目上加大技术和资金投入,2011年便推出了“担保通”保障体系,全方位地保障消费者的消费安全。而PCI合规作为这个保障体系中重要的一环,也是值得花费大量人力、物力做投入的。
