|
||||
“携程将不再保存客户的CVV(信用卡验证码)信息,以前保存的那些CVV信息正在予以删除。”3月26日,在爆出存在高危支付日志后,携程方面如是称。在3月22日,漏洞报告平台乌云发布消息,携程安全支付日志可任意下载,导致大量用户银行卡信息泄露,包括持卡人姓名身份证、银行卡号、卡CVV码等都有可能被黑客读取。尽管携程迅速响应并弥补了漏洞,然而还是勾起网民的恐慌:近年因网络漏洞导致用户信息泄露事件,频繁出现。
据业内资深人士透露,2013年国内系统有漏洞且被黑客发现、利用的网站达30多万个,占网站总量的千分之三,不可谓不高。其中,数据库泄露(即“拖库”)和“钓鱼”现象最为普遍,对网民的危害亦最大。不过,魔与道相生相克,网民亦不必闻之色变,在日常使用浏览器上网、微信、微博等APP以及发短信时,只要应对得法,网络安全仍可以“操之在我”。
违规保存用户敏感信息
此次携程网用户的信用卡信息被泄露后闹得沸沸扬扬,致部分网民恐慌并将相关银行卡“暂停”。另一部分网民则将矛头指向携程,认为其未尽到信息保密的义务。事实上,携程是“因为无线部门在手机APP调试过程中保存了日志并在Web.config开了目录遍历”,然后被“白帽子”(相对于黑客的另一种称谓)发现,并公布。
对此,携程网相关人士接受《E天下》采访时也承认,其技术开发人员之前为了排查移动端系统疑问,留下了临时日志,因疏忽未及时删除,因而形成了漏洞。一位业内人士告诉记者,此次携程网的“泄露门”之所以引起恐慌,责任首先在携程。携程未限制使用权限,令服务器上的任何文件都可以被他人明文看到。
另外,携程违规保存了用户的敏感信息,如银行卡持卡人姓名、身份证、卡号、CVV码、6位卡Bin等。根据信用卡支付的一般流程,只要知道卡号、有效期以及卡背后的CVV码,任何人都可以任意消费,即便不是自己的卡。
此事还爆出,携程竟然没有申请通过行业PCI DSS(支付卡产业数据安全标准)认证。对此,携程称,已经启动了PCI和银联的认证程序,以期更好地符合监管要求。“严格说,每家网站,每款软件、每个操作系统,都有漏洞,就像IE浏览器、苹果iOS也要不断打‘补丁’、升级一样。”腾讯电脑管家高级工程师陶思南日前接受记者采访时称,2013年有30多万个网站的漏洞被发现,被黑客掌握了权限植入“木马”程序。
记者了解到,国内目前的网站(根据不同网址计)多达约1亿个。由此推算,被黑客或“白帽子”发现漏洞的比例高达千分之三。
对于业内人士而言,程序员并非“万能”,在写代码时难免疏忽,而黑客去挖掘并利用这些漏洞亦很正常。自我防护能做什么?
“携程泄露事件在一定程度上会影响消费者对网络支付安全性的信赖。”360安全专家安扬告诉记者,网站可能过度收集了用户信息,同时又未尽到妥善保存信息的义务。然而,不管是PC端还是移动端,网站又怎么会不收集用户信息?尤其是,如今大数据挖掘已经成为一门“大生意”。
然而,黑客最终的目的是盗取财物,网民对此并非毫无应对之法。首先,要保证使用的是正规网站。目前,仿冒各类网店如淘宝店、银行、航空旅游等的网站较多,网民在进行网上支付行为时,务必核对正确网址。同时,使用安全浏览器、安全软件,亦对此有帮助。
同时,在通过短信、微信、微博里的短网址跳转后支付时,更应该多长个心眼。360安全专家朱翼鹏表示,短信中的链接可伪造成钓鱼网址,骗取用户输入信用卡号、密码等个人私密信息,导致银行卡关键信息泄露,最终造成银行卡内资金被盗。
原来,黑客在发现网站漏洞拿到权限后,会做成“钓鱼”网站,另外也会通过假基站群发短信,内含网址,令人信以为真点击。据朱翼鹏透露,此次携程网事件中,一些诈骗者利用消费者的恐慌心态,借机实施电信诈骗,伪造类似短信或者客服电话:“携程被爆出现安全漏洞,可导致您银行卡信息泄露,请及时登录以下网址:http://×××修改银行卡密码,以保证银行卡内资金安全。请联系:400××××”
无论是在微博、微信等网上,还是普通短信中收到中奖、法院传票、邮件、房租转账、低价购物、贷款等各种信息时,均要相信“天上不会掉馅饼,只有陷阱”。遇类似的事多与家人、朋友沟通,或者在网上多做查询了解。“经携程一事,各大网络公司也要自检,查看自家的网络是否也会泄露用户信息。”陶思南表示,这也警告网站做各种测试时,应该在内部实验环境下,而不能像携程将实验放在线上公开进行。
“拖库”、“钓鱼”让普通用户受害
记者采访了解到,在因为网站漏洞被“黑”的事件中,“拖库”现象最恶劣,对网民的不利影响也最大。据陶思南表示,“拖库”一词多用于数据库程序员专业人士,意即从数据库导出数据。“‘拖库’就能将一家网站的所有用户资料拿到,比如登录名、密码。”他表示,因为用户在网上的许多信息相同,就很可能一次泄露,多处受伤。如利用某网站的漏洞拿到了用户信用卡的相关信息,那就可以肆意消费、转账。
“‘拖库’往往受影响的用户数量庞大,涉及的面非常广。”据他表示,2011年12月,有黑客在网上公开了国内最大的开发者社区CSDN网站用户数据库,包括600余万个明文的注册邮箱账号和密码。
危害仅次于“拖库”的信息泄露现象即为网站“钓鱼”。“一家高校的官网因为系统漏洞,被黑客掌握了权限,就可以伪造登录页面,或仿冒成银行支付页面,骗取不明真相的网名提供各类账号、密码。”他介绍,目前无论是PC端还是移动端,浏览器安全机制中均将官网“默认”为白名单,黑客改变其用途后,亦容易躲过安全检测。
此前,UC优视总裁何小鹏接受记者采访时亦透露,安全浏览器对“钓鱼”网站有防范机制,但不同等级的公司对此的防范水平并不相同。《E天下》早前报道,黑客会篡改银行、淘宝等网站的地址栏,哪怕其就在浏览器的地址栏名片中。因此,稍不留意,网名习惯性登录网站,就会被黑客“钓鱼”成功。
另外,“任意跳转”的漏洞也多发。在微博、微信、短信中,往往一些不法网站地址会生成短网址,诱导用户点击,然后窃取数据。“‘拖库’和‘钓鱼’危害最大,与‘白帽子’更多为了公益而寻找网站漏洞不同,黑客会跟黑色产业紧密相连,将窃取的数据提供给‘黑产’,完成提款、转账、洗钱等流程,普通网民受害最大。”陶思南说。(文、图整理/记者李光焱)
链接:近年重大信息泄露一览
如家、7天等:2013年10月,国内安全漏洞监测平台乌云(WooYun.org)发布报告,称如家、7天、格林豪泰等大批连锁酒店的开房记录被第三方存储,并且因为漏洞而泄露。
天涯:2011年12月25日,国内知名的社区网站天涯网发布致歉信,称天涯部分用户隐私遭到“黑客”泄露。与之前CSDN被泄露的信息一样,天涯被泄露的用户密码全部以明文方式保存,但是规模更大,约有4000万用户的密码遭泄露。
CSDN:2011年12月21日,有“黑客”在网上公开了国内最大的开发者社区CSDN网站用户数据库,包括600余万个明文的注册邮箱账号和密码。这些密码并未经过后台的再次加密处理,普通人只要下载就都能看懂,并可直接通过他人的账号进行登录。由于大部分用户在多个网站注册时采用了相同账号,百合网、人人网、开心网、珍爱网、世纪佳缘、多玩网、美空网等多家知名网站先后被卷入泄密风波。
索尼:2011年5月3日,索尼承认,“黑客”窃取索尼在线娱乐近2500万用户的姓名、地址和密码。索尼在线娱乐PC游戏网络遭“黑客”袭击造成奥地利、德国、荷兰和西班牙的10700张借记卡记录失窃以及12700张非美国信用卡或借记卡号码被盗。
哗塞!
不是苹果是“小牛”
像国产设计服装品牌“例外”一样,国产手机产生亦迎来爆发的机会。
上周,国家主席习近平偕夫人彭丽媛出访德国,在观看中德足球赛事时,出现了主席夫人使用手机拍照的镜头。据对镜头中的手机进行对比分析,该款手机被认为是中兴通讯旗下高端品牌努比亚,手机型号为nubia Z5 mini,昵称“小牛”。记者随后了解到,该品牌产品一直在拍照领域创新和求变,立志把专业相机的拍照体验引入到手机中。
业内人士称,随着华为、中兴等中国品牌日益强大,产品逐渐受到中外消费者认可,预示着“中国创造”将步入春天。 (文、图整理/记者李光焱)