也许很多朋友更关心3月22日乌云携程信用卡信息泄露的漏洞。我不会重复具体的过程,因为明天一定是一个压倒性的新闻。许多评论都没有提到这一事件PCI-DSS事实上,标准可以通过这个简单的维度来判断哪些评论是可靠的,哪些评论是不可靠的。PCI-DSS是「第三方支付行业数据安全标准」,由VISA与MasterCard牵头制定。要做第三方支付业务,想在美国上市,必须通过这个标准。PCI-DSS本标准明确规定了如何实施数据保护,哪些信息可以保存,哪些信息不能保存(特别是明确保存)(如CVV等待敏感信息)。所以携程这次明显违反了PCI-DSS相关规定。
因为携程在上市时一定通过了PCI-DSS从实施到维护一些安全标准看出一些安全标准有多难。「安全标准」、「合规」现在要求已经沦落为生意,含金量越来越低。PCI-DSS安全公司可能会向客户提交很多文件,但真正认真实施的公司越来越少。所以通过安全标准并不意味着什么,只是花钱买一张牌照。PCI-DSS要求会产生大量的衍生安全需求,VISA他们还投资了一些安全公司,他们分享了他们的大部分利益。在利益关系下,认证审查不会太严格。
根据携程的官方解释,该事件记录了调试目的的临时日志,共涉及93名用户,未发现其他数据泄露。我相信这个漏洞的提交人「猪猪侠」这部分数据不会被恶意使用,因为他在业内享有很好的声誉,如果他想这样做,他就不会向乌云提交漏洞。但携程是否还有其他问题尚不清楚。
对于用户来说,他们可能会感到恐慌,并要求银行更换信用卡。但除非你将来不再使用在线信用卡,否则类似的问题在短期内仍然很难避免。我相信有很多公司比携程做得更糟,缺乏规范,尤其是一些公司还没有上市,也没有通过PCI-DSS认证公司,只是这些问题没有暴露在阳光下,所以你不知道。
对携程来说,这一事件与其说是技术漏洞,不如说是信誉危机。同时,它也向我们展示了安全的重要性:建立用户信任可能需要几年的时间,但只需要一天的时间来摧毁它。