3月22日晚,微信朋友圈开始疯传一则消息:漏洞报告平台乌云网披露,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等。
由于一直在使用携程网并捆绑信用卡,这则消息立即引起我的警觉。经查证后,我发现消息确实,而且负面后果不小。一旦用户上述信息泄漏,银行卡便可能被盗刷、透支。以往我在携程购买机票、订酒店,只要输入卡号后四位,便可完成支付。这是因为,我的账号信息已被携程记录。只是没想到,携程这么不小心对待用户个人信息。
斟酌良久,我修改了信用卡密码。后来,我又打电话给信用卡公司,通知换卡。当看到携程的声明后,我赶紧又把携程网站上记录的通讯地址、身份证号码统统删除。做完这些事情,我的心情还是很糟糕。这不仅是因为浪费时间(以及换卡手续费),还在于携程的做法让人难以认可。
据分析,携程在此次信息泄露事件中,至少犯了两个难以让人原谅的错误:一是私自留存用户银行卡背三位数CVV安全码(一旦知悉安全码,无须支付密码也可进行交易);二是携程竟然是以明文方式保存密码。自从2011年CSDN、天涯等社区发生密码泄露事件后,明文保存密码的害处已为人所熟知。打个比方,如果用户密码是123456,那么后台应当通过加密方式保存,变成一串经过复杂算法后的暗码。携程至今采取明文方式保存信息,反映了其对用户利益的严重疏忽态度。
再看携程发现技术漏洞后的声明。携程之所以出现漏洞,是因为技术人员“留下了临时日志,因疏忽未及时删除”。携程表示,漏洞已在两小时内修复,涉及93名存在潜在风险的携程用户,已通知相关用户更换信用卡。携程又表示:“截至3月23日22:00,没有接到携程客服换卡通知的用户,个人信息均是安全的。”携程还承诺,未来如因安全漏洞引起用户损失,将承担全部责任并给予赔付。
这一通声明看下来,更让人一头雾水。既然仅涉及93名存在潜在风险用户,携程为何还要等到23日22时才能确认用户信息安全?我看到携程声明的时间是23日20时左右,也就是离上述时间还有两小时。那么在这段时间内,携程是在修补漏洞,还是在等待更多的用户风险报告?没有把握漏洞已完全修复,携程何以承诺“个人信息均是安全的,无需担心”?如果对事情本身都不能做到实事求是,用户又怎么能够相信携程的安全承诺?
用户把银行卡和个人信息交托给网站,是出自对网站的信任;网站留存必要的用户信息,承载的是沉甸甸的责任。一旦网站出现信息泄露事件,无论是否发生财产损失,已是对用户造成了伤害。既然伤害了用户,就必须以高度负责任的态度弥补过失,而不能巧言掩饰、敷衍了事,更不能“一笑而过”。作为十年以上的老用户,我希望携程正视问题所在,不能让用户“二次受伤”。
|