携程伤害了我,别一笑而过 |
Fashion.hangzhou.com.cn 2014年03月24日 07:06:30 星期一 来源:杭州日报 |
3月22日晚,微信朋友圈开始疯传一则消息:漏洞报告平台乌云网披露,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等。 由于一直在使用携程网并捆绑信用卡,这则消息立即引起我的警觉。经查证后,我发现消息确实,而且负面后果不小。一旦用户上述信息泄漏,银行卡便可能被盗刷、透支。以往我在携程购买机票、订酒店,只要输入卡号后四位,便可完成支付。这是因为,我的账号信息已被携程记录。只是没想到,携程这么不小心对待用户个人信息。 斟酌良久,我修改了信用卡密码。后来,我又打电话给信用卡公司,通知换卡。当看到携程的声明后,我赶紧又把携程网站上记录的通讯地址、身份证号码统统删除。做完这些事情,我的心情还是很糟糕。这不仅是因为浪费时间(以及换卡手续费),还在于携程的做法让人难以认可。 据分析,携程在此次信息泄露事件中,至少犯了两个难以让人原谅的错误:一是私自留存用户银行卡背三位数CVV安全码(一旦知悉安全码,无须支付密码也可进行交易);二是携程竟然是以明文方式保存密码。自从2011年CSDN、天涯等社区发生密码泄露事件后,明文保存密码的害处已为人所熟知。打个比方,如果用户密码是123456,那么后台应当通过加密方式保存,变成一串经过复杂算法后的暗码。携程至今采取明文方式保存信息,反映了其对用户利益的严重疏忽态度。 再看携程发现技术漏洞后的声明。携程之所以出现漏洞,是因为技术人员“留下了临时日志,因疏忽未及时删除”。携程表示,漏洞已在两小时内修复,涉及93名存在潜在风险的携程用户,已通知相关用户更换信用卡。携程又表示:“截至3月23日22:00,没有接到携程客服换卡通知的用户,个人信息均是安全的。”携程还承诺,未来如因安全漏洞引起用户损失,将承担全部责任并给予赔付。 这一通声明看下来,更让人一头雾水。既然仅涉及93名存在潜在风险用户,携程为何还要等到23日22时才能确认用户信息安全?我看到携程声明的时间是23日20时左右,也就是离上述时间还有两小时。那么在这段时间内,携程是在修补漏洞,还是在等待更多的用户风险报告?没有把握漏洞已完全修复,携程何以承诺“个人信息均是安全的,无需担心”?如果对事情本身都不能做到实事求是,用户又怎么能够相信携程的安全承诺? 用户把银行卡和个人信息交托给网站,是出自对网站的信任;网站留存必要的用户信息,承载的是沉甸甸的责任。一旦网站出现信息泄露事件,无论是否发生财产损失,已是对用户造成了伤害。既然伤害了用户,就必须以高度负责任的态度弥补过失,而不能巧言掩饰、敷衍了事,更不能“一笑而过”。作为十年以上的老用户,我希望携程正视问题所在,不能让用户“二次受伤”。 |
作者: 编辑:兰超 |
① 凡本网注明“稿件来源:杭州网(包括杭州日报、都市快报、每日商报)”的所有文字、图片和音视频稿件,版权均属杭州网所有,任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发表。已经本网协议授权的媒体、网站,在下载使用时必须注明“稿件来源:杭州网”,违者本网将依法追究责任。 ② 本网未注明“稿件来源:杭州网(包括杭州日报、都市快报、每日商报)”的文/图等稿件均为转载稿,本网转载出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。如其他媒体、网站或个人从本网下载使用,必须保留本网注明的“稿件来源”,并自负版权等法律责任。如擅自篡改为“稿件来源:杭州网”,本网将依法追究责任。如对稿件内容有疑议,请及时与我们联系。 ③ 如本网转载稿涉及版权等问题,请作者在两周内速来电或来函与杭州网联系。