攜程事件在微博上已經(jīng)沸沸揚(yáng)揚(yáng)了，不少朋友還不太清楚整個(gè)過程，也不了解漏洞情況， 這個(gè)事件最早被曝光是在烏云(wooyun.org，白帽子漏洞發(fā)布平臺(tái))上的一個(gè)漏洞概述：

[[110424]]

漏洞詳情描述：

由于攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能，將用戶支付的記錄用文本保存了下來。同時(shí)因?yàn)楸４嬷Ц度罩镜姆?wù)器未做校嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取。

言下之意就是你只要用了這個(gè)接口進(jìn)行支付，你提交的信息就被存在了服務(wù)器，如果有黑客可以入侵該服務(wù)器的話，就能讀取到這些內(nèi)容。攜程官方給出的評(píng)論是說在調(diào)試過程中間，有兩小時(shí)左右用戶的支付信息是被明文保存在服務(wù)器上的，其中最嚴(yán)重的是信用卡信息泄露，包括但不限于持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin等。比較幸運(yùn)的是，這些數(shù)據(jù)沒有被保存在任何數(shù)據(jù)庫里面，只是存在日志中間，看起來很像是一場(chǎng)意外，比起一些直接保存私密信息進(jìn)數(shù)據(jù)庫的行為，這個(gè)從責(zé)任上看是疏忽，不算是惡劣行徑。

但是注意，上面說的是如果有黑客入侵的情況。事實(shí)上還真就能入侵， 因?yàn)榇嬖诹硪粋€(gè)漏洞——安全日志可以遍歷下載! 這個(gè)的原因據(jù)攜程自己人說是webconfig開了目錄遍歷，具體情況我也不太清楚，然而就是這個(gè)遍歷漏洞，把影響擴(kuò)大了，導(dǎo)致用戶不得不去換卡，人心惶惶。但是這個(gè)漏洞也某種程度轉(zhuǎn)移了注意力，讓攜程把用戶的目光轉(zhuǎn)移到：消滅遍歷漏洞，就能保護(hù)住用戶隱私安全了。那么如果這個(gè)安全日志遍歷的漏洞沒有爆出來的話，就是安全了嗎?

這就好比你在我的店里消費(fèi)，刷卡， 我拿去刷POS機(jī)的時(shí)候，把你的卡號(hào)和密碼記在了一張紙上，如果我把它鎖到一個(gè)保險(xiǎn)箱里，我也不盜你的卡，你我都會(huì)相安無事，但是很不幸有一天保險(xiǎn)箱被人撬開了，你的卡被盜刷了， 這下麻煩就來了。 攜程很不幸就中了這個(gè)獎(jiǎng)， 我認(rèn)為作為一個(gè)上市公司，這個(gè)是開發(fā)人員的疏忽，不應(yīng)該影響整個(gè)網(wǎng)站的安全信譽(yù)，我相信攜程一定會(huì)重視和警惕此類事件。然而這個(gè)事件帶來的問題是，到底有多少網(wǎng)站有潛在泄露我們隱私的風(fēng)險(xiǎn)?有哪些網(wǎng)站在明文傳輸和保存我們的私密信息?

很不幸，這個(gè)答案多到讓人難以想象， 因?yàn)閲?guó)內(nèi)的安全意識(shí)還處在上個(gè)世紀(jì)的水平， 直到去年安全行業(yè)火了一把后，大家才開始注重網(wǎng)絡(luò)安全。很多用戶在上網(wǎng)的時(shí)候，并不會(huì)較真一些網(wǎng)站的聲明，而采取了默認(rèn)的信任。 而在國(guó)外，只要涉及敏感用戶隱私的網(wǎng)站，都需要一個(gè)非常復(fù)雜的聲明，聲稱絕對(duì)不會(huì)存儲(chǔ)不該存儲(chǔ)的信息，也不會(huì)向用戶詢問隱私信息(反詐騙提醒)。 

可見，網(wǎng)絡(luò)安全技術(shù)上固然復(fù)雜繁瑣，但是技術(shù)問題不可怕，可怕的是意識(shí)問題。 我們?cè)诠ぷ髦虚g無論是無心還是有意的，沒有把用戶隱私放到一個(gè)神圣的地位來對(duì)待。用戶本身也不會(huì)發(fā)現(xiàn)，你平常去一個(gè)網(wǎng)站，你很可能使用的就是你支付寶的密碼， 如果這個(gè)網(wǎng)站保存下來了，你根本就察覺不到， 如果被泄露了， 在現(xiàn)行法律下，執(zhí)法機(jī)構(gòu)抓不到黑客的話，也很難追究到網(wǎng)站的責(zé)任，這個(gè)苦水就只有自己吞了。

而在國(guó)外， 身份竊取或者是信用卡詐騙都是聯(lián)邦重罪， 為了預(yù)防和打擊可能的犯罪，信用卡公司和金融機(jī)構(gòu)每年投入大量的經(jīng)費(fèi)，聯(lián)合治理網(wǎng)絡(luò)支付安全。其中最著名的是 PCI-DSS compliance 以及信用卡3D驗(yàn)證，其中PCI 是預(yù)防信息泄漏， 3D是防止盜取信息者牟利。

什么是PCI-DSS呢? 攜程的這個(gè)接口屬于站內(nèi)支付，在國(guó)際上有一個(gè)標(biāo)準(zhǔn)是用來管理支付網(wǎng)站安全的，簡(jiǎn)稱是PCI compliance， PCI就是 Payment Card Industry， DSS就是data storage security——數(shù)據(jù)安全，PCI這個(gè)標(biāo)準(zhǔn)要求非常高，是需要時(shí)事更新的。提供PCI驗(yàn)證服務(wù)的公司通常會(huì)多方面地地毯式掃描，會(huì)找出各類漏洞， 還要你在申請(qǐng)的時(shí)候嚴(yán)格申明不能保存不該存的信息，以及不可以不使用 SSL 加密數(shù)據(jù)傳輸(避免數(shù)據(jù)嗅探)。我以前自己的網(wǎng)站申請(qǐng)過first data等公司的站內(nèi)支付服務(wù)，PCI將我折磨地不行，而且每3個(gè)月都需要更新一次。明天我會(huì)寫一篇自己小白時(shí)期申請(qǐng)PCI的慘痛經(jīng)歷。

再說一下3D驗(yàn)證， 這個(gè)在不同國(guó)家有不同的做法，多數(shù)是通過大數(shù)據(jù)檢驗(yàn)?zāi)闶欠袷窃诔Ｓ迷O(shè)備和IP上登錄，以及你的行為是否正常(盜取paypal的黑客即便是在被盜用戶自己的機(jī)器上都有可能在提現(xiàn)時(shí)被鎖號(hào)) 如果不是的話彈一個(gè)小窗，需要輸入更加隱私的信息， 可以是銀行的密碼保護(hù)問題，也可能是生日，社會(huì)保險(xiǎn)號(hào)等，目的是驗(yàn)證使用者確實(shí)是你。

以上兩路大招加起來是否能完全避免信息泄露的損失呢? 當(dāng)然也做不到100%絕對(duì)安全， 但是至少這體現(xiàn)了一種態(tài)度和意識(shí)。國(guó)內(nèi)大多數(shù)公司平常不把安全落實(shí)到實(shí)處， 得過且過，順其自然。 等到出了問題的時(shí)候再修復(fù)和危機(jī)公關(guān)。我相信攜程一定有能力做到完全的PCI compliance 并且時(shí)時(shí)刻刻保持更新， 也有這個(gè)實(shí)力去把網(wǎng)絡(luò)安全措施做到國(guó)際水準(zhǔn)，但是它卻沒有做到，就跟大多數(shù)其他網(wǎng)站一樣。那為什么沒有機(jī)構(gòu)去監(jiān)管這樣的行為呢? 在一個(gè)連地溝油毒奶粉沒有FDA這樣的嚴(yán)格標(biāo)準(zhǔn)監(jiān)管的地方，PCI確實(shí)不是一個(gè)性價(jià)比高的東西，還不如花點(diǎn)錢多投點(diǎn)廣告來點(diǎn)流量更實(shí)際。