|
||||
“攜程將不再保存客戶的CVV(信用卡驗證碼)信息,以前保存的那些CVV信息正在予以刪除。”3月26日,在爆出存在高危支付日誌後,攜程方面如是稱。在3月22日,漏洞報告平臺烏雲發佈消息,攜程安全支付日誌可任意下載,導致大量用戶銀行卡信息泄露,包括持卡人姓名身份證、銀行卡號、卡CVV碼等都有可能被黑客讀取。儘管攜程迅速響應並彌補了漏洞,然而還是勾起網民的恐慌:近年因網絡漏洞導致用戶信息泄露事件,頻繁出現。
據業內資深人士透露,2013年國內系統有漏洞且被黑客發現、利用的網站達30多萬個,佔網站總量的千分之三,不可謂不高。其中,數據庫泄露(即“拖庫”)和“釣魚”現象最爲普遍,對網民的危害亦最大。不過,魔與道相生相剋,網民亦不必聞之色變,在日常使用瀏覽器上網、微信、微博等APP以及發短信時,只要應對得法,網絡安全仍可以“操之在我”。
違規保存用戶敏感信息
此次攜程網用戶的信用卡信息被泄露後鬧得沸沸揚揚,致部分網民恐慌並將相關銀行卡“暫停”。另一部分網民則將矛頭指向攜程,認爲其未盡到信息保密的義務。事實上,攜程是“因爲無線部門在手機APP調試過程中保存了日誌並在Web.config開了目錄遍歷”,然後被“白帽子”(相對於黑客的另一種稱謂)發現,並公佈。
對此,攜程網相關人士接受《E天下》採訪時也承認,其技術開發人員之前爲了排查移動端系統疑問,留下了臨時日誌,因疏忽未及時刪除,因而形成了漏洞。一位業內人士告訴記者,此次攜程網的“泄露門”之所以引起恐慌,責任首先在攜程。攜程未限制使用權限,令服務器上的任何文件都可以被他人明文看到。
另外,攜程違規保存了用戶的敏感信息,如銀行卡持卡人姓名、身份證、卡號、CVV碼、6位卡Bin等。根據信用卡支付的一般流程,只要知道卡號、有效期以及卡背後的CVV碼,任何人都可以任意消費,即便不是自己的卡。
此事還爆出,攜程竟然沒有申請通過行業PCI DSS(支付卡產業數據安全標準)認證。對此,攜程稱,已經啓動了PCI和銀聯的認證程序,以期更好地符合監管要求。“嚴格說,每家網站,每款軟件、每個操作系統,都有漏洞,就像IE瀏覽器、蘋果iOS也要不斷打‘補丁’、升級一樣。”騰訊電腦管家高級工程師陶思南日前接受記者採訪時稱,2013年有30多萬個網站的漏洞被發現,被黑客掌握了權限植入“木馬”程序。
記者瞭解到,國內目前的網站(根據不同網址計)多達約1億個。由此推算,被黑客或“白帽子”發現漏洞的比例高達千分之三。
對於業內人士而言,程序員並非“萬能”,在寫代碼時難免疏忽,而黑客去挖掘並利用這些漏洞亦很正常。自我防護能做什麼?
“攜程泄露事件在一定程度上會影響消費者對網絡支付安全性的信賴。”360安全專家安揚告訴記者,網站可能過度收集了用戶信息,同時又未盡到妥善保存信息的義務。然而,不管是PC端還是移動端,網站又怎麼會不收集用戶信息?尤其是,如今大數據挖掘已經成爲一門“大生意”。
然而,黑客最終的目的是盜取財物,網民對此並非毫無應對之法。首先,要保證使用的是正規網站。目前,仿冒各類網店如淘寶店、銀行、航空旅遊等的網站較多,網民在進行網上支付行爲時,務必覈對正確網址。同時,使用安全瀏覽器、安全軟件,亦對此有幫助。
同時,在通過短信、微信、微博裏的短網址跳轉後支付時,更應該多長個心眼。360安全專家朱翼鵬表示,短信中的鏈接可僞造成釣魚網址,騙取用戶輸入信用卡號、密碼等個人私密信息,導致銀行卡關鍵信息泄露,最終造成銀行卡內資金被盜。
原來,黑客在發現網站漏洞拿到權限後,會做成“釣魚”網站,另外也會通過假基站羣發短信,內含網址,令人信以爲真點擊。據朱翼鵬透露,此次攜程網事件中,一些詐騙者利用消費者的恐慌心態,藉機實施電信詐騙,僞造類似短信或者客服電話:“攜程被爆出現安全漏洞,可導致您銀行卡信息泄露,請及時登錄以下網址:http://×××修改銀行卡密碼,以保證銀行卡內資金安全。請聯繫:400××××”
無論是在微博、微信等網上,還是普通短信中收到中獎、法院傳票、郵件、房租轉賬、低價購物、貸款等各種信息時,均要相信“天上不會掉餡餅,只有陷阱”。遇類似的事多與家人、朋友溝通,或者在網上多做查詢瞭解。“經攜程一事,各大網絡公司也要自檢,查看自家的網絡是否也會泄露用戶信息。”陶思南表示,這也警告網站做各種測試時,應該在內部實驗環境下,而不能像攜程將實驗放在線上公開進行。
“拖庫”、“釣魚”讓普通用戶受害
記者採訪瞭解到,在因爲網站漏洞被“黑”的事件中,“拖庫”現象最惡劣,對網民的不利影響也最大。據陶思南表示,“拖庫”一詞多用於數據庫程序員專業人士,意即從數據庫導出數據。“‘拖庫’就能將一家網站的所有用戶資料拿到,比如登錄名、密碼。”他表示,因爲用戶在網上的許多信息相同,就很可能一次泄露,多處受傷。如利用某網站的漏洞拿到了用戶信用卡的相關信息,那就可以肆意消費、轉賬。
“‘拖庫’往往受影響的用戶數量龐大,涉及的面非常廣。”據他表示,2011年12月,有黑客在網上公開了國內最大的開發者社區CSDN網站用戶數據庫,包括600餘萬個明文的註冊郵箱賬號和密碼。
危害僅次於“拖庫”的信息泄露現象即爲網站“釣魚”。“一家高校的官網因爲系統漏洞,被黑客掌握了權限,就可以僞造登錄頁面,或仿冒成銀行支付頁面,騙取不明真相的網名提供各類賬號、密碼。”他介紹,目前無論是PC端還是移動端,瀏覽器安全機制中均將官網“默認”爲白名單,黑客改變其用途後,亦容易躲過安全檢測。
此前,UC優視總裁何小鵬接受記者採訪時亦透露,安全瀏覽器對“釣魚”網站有防範機制,但不同等級的公司對此的防範水平並不相同。《E天下》早前報道,黑客會篡改銀行、淘寶等網站的地址欄,哪怕其就在瀏覽器的地址欄名片中。因此,稍不留意,網名習慣性登錄網站,就會被黑客“釣魚”成功。
另外,“任意跳轉”的漏洞也多發。在微博、微信、短信中,往往一些不法網站地址會生成短網址,誘導用戶點擊,然後竊取數據。“‘拖庫’和‘釣魚’危害最大,與‘白帽子’更多爲了公益而尋找網站漏洞不同,黑客會跟黑色產業緊密相連,將竊取的數據提供給‘黑產’,完成提款、轉賬、洗錢等流程,普通網民受害最大。”陶思南說。(文、圖整理/記者李光焱)
鏈接:近年重大信息泄露一覽
如家、7天等:2013年10月,國內安全漏洞監測平臺烏雲(WooYun.org)發佈報告,稱如家、7天、格林豪泰等大批連鎖酒店的開房記錄被第三方存儲,並且因爲漏洞而泄露。
天涯:2011年12月25日,國內知名的社區網站天涯網發佈致歉信,稱天涯部分用戶隱私遭到“黑客”泄露。與之前CSDN被泄露的信息一樣,天涯被泄露的用戶密碼全部以明文方式保存,但是規模更大,約有4000萬用戶的密碼遭泄露。
CSDN:2011年12月21日,有“黑客”在網上公開了國內最大的開發者社區CSDN網站用戶數據庫,包括600餘萬個明文的註冊郵箱賬號和密碼。這些密碼並未經過後臺的再次加密處理,普通人只要下載就都能看懂,並可直接通過他人的賬號進行登錄。由於大部分用戶在多個網站註冊時採用了相同賬號,百合網、人人網、開心網、珍愛網、世紀佳緣、多玩網、美空網等多家知名網站先後被捲入泄密風波。
索尼:2011年5月3日,索尼承認,“黑客”竊取索尼在線娛樂近2500萬用戶的姓名、地址和密碼。索尼在線娛樂PC遊戲網絡遭“黑客”襲擊造成奧地利、德國、荷蘭和西班牙的10700張借記卡記錄失竊以及12700張非美國信用卡或借記卡號碼被盜。
譁塞!
不是蘋果是“小牛”
像國產設計服裝品牌“例外”一樣,國產手機產生亦迎來爆發的機會。
上週,國家主席習近平偕夫人彭麗媛出訪德國,在觀看中德足球賽事時,出現了主席夫人使用手機拍照的鏡頭。據對鏡頭中的手機進行對比分析,該款手機被認爲是中興通訊旗下高端品牌努比亞,手機型號爲nubia Z5 mini,暱稱“小牛”。記者隨後瞭解到,該品牌產品一直在拍照領域創新和求變,立志把專業相機的拍照體驗引入到手機中。
業內人士稱,隨着華爲、中興等中國品牌日益強大,產品逐漸受到中外消費者認可,預示着“中國創造”將步入春天。 (文、圖整理/記者李光焱)