携程信用卡门,为啥不用换卡不用销卡(专业吐槽+释疑版)

baoz 2014-03-24 228802人围观 ,发现 21 个不明物体 资讯

如果你赶时间,又想了解一点点东西,就看橙色字的部分。总而言之,我的建议是:遇到盗刷追回,然后才换卡。

首先携程出这个事确实是不应该,我就不补枪了,携程已经被喷的够狠了;另外本人是携程用户但并没有持有一毛钱携程股票,未来也不打算持有携程股票。

一、作为甲方安全行业同仁,完全可以想象携程的安全团队这几天鸭梨山大,我除了为陈健祝福之外,也说说我的观点。

1、这次问题的根源就是研发人员的KPI不包含安全,架构师工作有待改进。

2、携程的安全团队有没责任呢?有,肯定有。就这个事情本身,用SDL的方法论来看,需要在培训、编码规范和应急响应方面发力。但是,Talk is
cheap。作为一个同行,我深知这些事情是需要巨大的资源支持的,这也是很多甲方为什么SDL只能做(或一开始做)pentest那部分的原因,来,我来给大家数数资源:

A、培训。新入职的你要培训,入职了的你还得反复培训。但是,talk 还是cheap的很,我们用什么来保障培训的执行力呢?研发人员培训听懂了吗?入职培训后要考相关的内容吗?考过了才能转正吗?这都需要资源的支持,越大的公司,需要的人的资源越多,况且,这事在SDL里投资回报不算最高的。因为,talk is cheap,培训依然是talk。

说到入职转正安全要求,我举个栗子。某游戏公司由于使用了第三方邮件服务,对该服务控制力较弱,但他们又希望全公司人都开邮箱的双因素认证。该公司创始人要求新入职员工培训中包含该内容,并且邮箱都开双因素认证,否则不予转正,但这种事情基本是要在扁平的人力结构下由一把手拍下来才相对靠谱(后续员工有没自己关掉双因素就不得而知了。。。)。

B、编码规范。如果规范无法自动化检测并整合发布流程,如果研发不背安全的KPI,那还是talk。为神马?因为研发不背安全的KPI,大部分的KPI是项目进度相关的,质量相关的也较少,顶多就事故了。那么大部分研发人员自然更多的追求效率而舍弃质量,谁和KPI有仇啊?去追求和KPI无关的东西;但有极少部分有经验的研发人员,会在无意识中考虑安全问题,这种研发很高端,可遇不可求。

研发有安全的KPI就可以避免携程这次的问题了吗?nonono,这只是基本条件。我们的编码规范还得可以自动化检测出来,否则一周上线个几十次代码的,安全团队哪有这么多人力一起玩呢?即使能自动化,安全团队依然需要固定的人力投入来跟进处理。

例如禁止用system函数这个编码规范很好检测吧,grep一下就有了;但打日志这个就不好检测了,他依赖于啥?架构师!听起来很高大上的一个岗位,叫架构师的人很多,但做的好的架构师我遇到的很少。架构师的职责之一就是提供公司的日志输出组件并在全公司执行,规范化日志行为及内容,输出啥,啥格式,输出到哪,啥时候删除,谁能看,怎么看。架构师们,扪心自问,您做到了吗?这考验的是架构师的执行力而不是意淫能力。

C、应急响应。这不用说,就是大量的钱和少量的人。原来某src一个小MM在运营,累的要死要活的,结果白帽子们还不大满意,后来加人了,加钱了,那一切都好办了。携程这次也搞了个500万安全奖励上报漏洞的白帽子们,携程的教训告诉我们救火总是代价大

最后,甲方的安全同行们,共勉之。

二、作为携程的用户和信用卡的深度用户,给大家一些建议并说明下为啥:

1、携程的问题在国内好些公司都有。甲方的安全不好做的,知行合一很难的,“行”,是安全人员的核心竞争力之一,“行”的好需要足够的思考和资源。

2、不需要删除携程上绑定的信用卡更不需要去银行换卡。

A、为啥不需要解绑携程上的信用卡?

a、我相信这次事件之后,携程高层会更加重视安全,500万人民币的奖金都拿出来了,数字说明一切。

b、携程已经修复了漏洞。

c、你离开了这个“携程”,你一定会到我在1里说到的另一家公司存下你的信用卡信息:)我说的不是elong也不是去哪儿也不是芒果网,可能是某个电子商务公司,也可能是某个游戏公司。到哪都是坑,就不要因噎废食了。作为用户,我们应该利用他方便的地方,尽量规避里面的风险。

B、为啥不需要去银行换卡。

原因如上c。你的信用卡换100次,我相信你还是会在网上用的。换卡只会给你带来麻烦,但解决不了问题。

另外报告这个漏洞的人我认识,业界的人品还是不错的,知道这个漏洞的应该只有此人和乌云的漏洞审核人员,换而言之,就是携程的信用卡数据不是像csdn的数据库那样随便都可以下载的。

3、降低额度并给信用卡设置消费提醒(微信or短信),遇到异常立马电话银行否认消费,并换卡。

A、降低额度可以降低风险,但同样影响了体验,你可以根据你日常使用的情况,降低额度。

B、开通信用卡消费提醒,遇到了不是自己产生的消费,在24小时内打电话给银行(越快越好),银行会负责追回款项。这个可能有童鞋不理解,找银行要钱,在中国,这比母猪上树容易吗?这个客观的说,得看银行和看你自己的沟通技巧了。我用招行信用卡10年了,期间被盗刷5次左右,大部分产生在国外的站点,最后一次是appstore(2月份,98RMB)。每次都快速追回了。每次都是短信提醒,我发现不对,然后电话招行客服,招行客服承诺2个工作日给我答复。为神马这么爽快?!因为出钱的是商家!

我帮我一票做外贸电商的吐吐苦水。知道做外贸电商的有多难吗?没用户下单的时候愁着如何发工资啊,有用户来了尼玛怕他在刷黑卡啊。如果有人盗用了信用卡在他们的平台支付,然后他们又发货了,接着真实的持卡者投诉到银行,银行向商家追回金额,这个时候,商家就货财两空了。

这个故事说完,就知道为啥银行可以快速的回钱给投诉的用户了吧。招商是可以的,但其他银行我没体验过,理论上是一样的,但不建议你测试,因为测试已经是欺诈了。

4、信用卡不要设置交易密码,否则银行会转移责任。

信用卡银行有查询密码和交易密码,交易密码就是你在刷卡的时候,需要输入的密码。

虽然大部分情况下在网上消费是不需要交易密码的,但是如果你设置了交易密码,这个可能会是一个银行的说辞,如果日后万一涉及法律,银行可能会咬着这点不放的。

无论携程是否出事,都建议如上使用信用卡

这些评论亮了

  • prjf (3级) 回复
    携程的库被那帮大牛卖来卖去玩烂了后又发出来了.
    )20( 亮了
  • 携程安全中心 (2级) 携程旅行网安全团队 回复
    关于此次信用卡门,我们澄清几点:
    1、此次问题是由于开发人员临时开启了手机端支付调试功能,记录的信息很少,据统计日志中只有93位用户的支付信息。
    2、支付信息中所有关键数据都经过了aes 256位加密,目前网络中尚未有靠谱的破解方式。
    3、漏洞我们已在第一时间处理,并且排查了近半年的访问日志,只有漏洞提交者下载了一些测试数据,并已确认数据已删除。
    4、日志信息中仅有21号和22号使用手机端APP支付的用户信息。
    综上所言,这个漏洞没有网络传播的影响面那么大,为了确保安全,所有93位用户我们已第一时间通知了用户进行更换信用卡操作,希望各位小伙伴能够理性看待此次事件,我们后续也会反省自身存在的问题,降低可能存在的安全风险!
    )19( 亮了
  • 不装逼会死黑客 回复
    国内大大小小的站内支付的网站,第三方支付网站,大部分都违法了有关政策和行业规定存储了用户的敏感信息,这和监管部门和行业内大环境是有必然关系的。就好比大家都知道的比快捷支付的支付流程存在隐患,但监管部门并没有对此做出措施。此次事件,携程不冤,之前就有人发生过盗刷然后怀疑的携程的新闻,携程为什么不会承诺以后不存储用户的这些敏感信息,是因为行业大环境其他很多涉及支付环节的网站大家都这样做,别人都这样做来赚钱让携程不这样做他肯定不愿意。为什么这些没有支付牌照的网站可以存储你的敏感信息(声称进行了安全的加密),然后以后就只需要提供极少资料就可以完成支付?这个过程和银行之间交换了些神马数据(此时难度不需要解密出来交换?)这些流程上是符合国家相关政策要求的?到底安全不安全??互联网企业自身也要有节操一些,虽然说互联网在金融上很创新,但在创新也要注意基本的安全操守,该你保存的就保存,不该保存的就不保存,如果可以保存,则应该按照政策规定达到进行相应的安全措施。这些问题才是值得媒体思考的,媒体更应该把关注点延伸到监管部门和相关的行业环境上,只有这样,才真正能提升用户的安全保障。
    对于普通网民,我的建议是尽量在发卡行的网银上完成支付,这样可以减少敏感信息的泄露渠道,但发生正在的资金损失的时候,可以知道泄露渠道在哪里,也不会导致无法举证的问题,本人很多年前在携程支付过一次之后,从此以后,基本上都只在网银上完成支付,几乎不在站内完成支付,第三方支付业只有支付宝,并且里面没多少钱,不开通快捷支付。现在网银这么方便,完全没必要非要在站内完成支付。
    )7( 亮了
发表评论

已有 20 条评论

取消
Loading...
css.php