专家谈:携程信用卡泄漏事件是否过渡抄作?
扫描二维码
随时随地手机看文章
最近几天,关于携程信息泄漏事件炒得沸沸扬扬,一时间,仿佛整个世界都不可靠了,所有带支付功能的网站都是陷阱,更有甚者,周围很多朋友都在申请更换银行 卡期望将自己的银行 卡更换成更有安全保障的金融IC卡,以避免现有银行 卡交易流程导致的损失。作为携程网的钻石客户,我当然第一时间也换了信用卡。但是,换卡后,我冷静下来思考后,觉得这件事有些过度营销。于是我采访了国内金融IC卡领先厂商天喻信息的一名专家,他对整个支付系统的安全机制非常熟悉,并且也对国际上的安全支付体制非常熟悉,他认为此事确有些被携程的对手过度营销。“携程这件事有些被过度营销和解读啦。携程这种人工收集CVV码的做法是业界通用做法,海外也是这样。携程这次事件还真算是员工失误(以下详细解释)。携程在国内算是运营比较正规的了,有很多第三方支付的网站非法留下用户密码,才是最恶毒的,用户密码是任何机构都禁止保留的。”是啊,我想起去年夏天给儿子在美国租车,租车公司也是要告诉他们信用卡所有信息的,这还真是国际惯例。
那么,这次携程信用卡事件到底揭示了哪些安全隐患?带来哪些反思呢?以下是他的观点:
作为一名长期从事金融支付安全工作的业内人士,我认为携程信息泄漏事件所带来的反思应该是整个支付体系层面的,而不是单单一个卡片的问题。
我们先来分析一下携程信息泄漏事件本身。从目前各媒体所披露的信息来看,事情的起因应该是携程的后台开发人员在做一个系统更新时,错误地将一个带有安全漏洞的调试版本更新到了正式平台上,且未能及时进行纠正,而乌云平台正好在这个时间监测到了这个漏洞,于是予以披露,一时间风声鹤唳,大家惊慌失措。
其实,在任何系统中,做正式平台的更新测试都是正常的,银行的系统也会有定期更新升级的时候,只不过在这个更新过程中,会有非常严格的流程管理,更新前,会提前公告,更新过程中,会暂时停止交易,更新完成后,会进行检测保证所有程序都是Release版本,没有调试用的后门。明显这次携程的泄漏事件是因为开发人员没有遵守相关的流程导致的。
在安全体系中,分为密钥安全、算法安全、逻辑安全、管理安全四个层次,这次携程事件属于管理安全这个层次,只能表示携程在系统安全方面“欠管理”,不能表示系统的不安全性。事实上,类似这种通过信用卡账号和CVV码进行授权交易的方式本身就是国际通行的方式,在系统后台保留信用卡信息和CVV码一方面是系统运维方与银行进行结算的需要,另一方面避免用户在每次交易中都反复输入账号、交易密码、CVV码等敏感信息,也是从安全(毕竟一般来说,用户的个人电脑远没有系统服务器安全)和用户体验出发所进行的设计,基本上所有的系统运维方都会采取这种方式以支持信用卡支付。正因为这样,在前几年发生的几起网络信息被盗事件中,都附带有信用卡信息的泄漏,如Sony公司2460万个人信息泄漏、美国零售巨头塔吉特公司4000万信用卡信息泄漏、澳大利亚50万信用卡信息泄漏事件等。
建议采用金融IC卡终端,中间商无法获得敏感信息
通过业务系统传递账号、交易密码、CVV码等敏感信息进行网络支付或者其它电子渠道支付其实是磁条卡时代的所设计的交易方式,而在金融IC卡时代,IC卡可以直接与银行的系统后台进行安全连接来完成交易,从而可以避免信息被中间渠道获取,保障用户个人信息的安全。在央行的敦促下,从2013年1月1日起,全国所有商业银行都具有了发行金融IC卡的能力,而从2015年1月1日起,全国所有的商业银行都要停止发行磁条卡。所以,金融IC卡时代很快就要来临了。实际上,目前在华东和华南,新发行的银行 卡已经很少使用纯磁条卡了。
从携程信用卡信息泄漏这件事来看,重要的不是我们使用什么卡片的问题,而是如何在金融IC卡的时代,充分利用IC卡的安全特性来保障我们的资金安全和个人信息安全,所以升级当前的支付体系才是最重要的,否则,即使换成了IC卡,也还是要在系统后台留下你的信用卡信息,连Sony这样的国际巨头都保证不了的安全,我不相信国内的某些菜鸟系统能够做得到。更何况,国内的某些支付系统或者具有支付转接能力的系统远比携程要危险得多,他们甚至会要求用户输入交易密码,并在后台缓存用户的交易密码,而从银行安全的需求来讲,用户的交易密码是不可以在银行主机和密码键盘以外的任何地方明文存在的。
目前国内从银联到银行都在试推行一种叫做银行 卡互联网终端或者叫做个人金融IC卡终端的产品,可以接入到用户电脑或者手机,插上金融IC卡进行网上支付。这种设备可以与银行后台建立安全通道,用户在设备上进行密码、账号、金额等敏感信息的输入,保证中间渠道不会获取任何信息,从而保障用户的用卡安全。
从我们世界的发展趋势来看,我们肯定不能因噎废食,因为担忧网络支付的安全而拒绝网络支付,那是一种赤裸裸的倒退,只有面向金融IC卡来升级我们的支付体系,使我们的支付更安全、更便捷、更可靠,才是我们应该努力的方向。希望能够与所有金融支付行业的同仁共勉。
下载文档
