3月22日晚间,乌云漏洞平台发布消息称,知名在线旅游服务企业携程网存在安全漏洞,可能导致包括用户姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字)等核心信息泄露。有网友因此引用携程网的宣传口号调侃这一安全漏洞:“携程在手,说走就走……但走得最快的是密码。”
好在只是虚惊一场。携程网在两小时内已经修复安全漏洞,期间既没有出现信息泄露的情况,也没有出现用户信用卡被盗刷的情况,并已安排存在风险的93名用户更换信用卡,且承诺未来如果发生因安全漏洞引起用户损失,携程网将承担全部责任并给予赔付。但相比较漏洞修复,更需深究的是漏洞何以产生。作为在线第三方支付企业,无论是根据国内《银联卡收单机构账户信息安全管理标准》,还是按照国际《第三方支付行业数据安全标准》,携程网都是不允许存储用户银行卡信息的,尤其是CVV码等敏感数据,然而,还是以“为了降低用户费力度与协助用户便捷支付”为由,将未扣款成功的用户CVV信息暂存7天。同时,由于存在遍历用户日志的漏洞,加之采取明文记录用户日志,客观上必然会增加用户银行卡信息泄露的风险,这才是携程网需要直面的核心问题。
携程网暴露出的安全漏洞并非孤例。网络正融入人们的日常生活,用户包括身份、银行卡等信息和互联网应用绑定越来越紧密,而企业为了提高用户操作和消费的便捷性,或者为了加快产品开发流程,往往忽略了互联网应用的安全性。去年12月,中国互联网络信息中心发布的《2013年中国网民信息安全状况研究报告》显示,我国网络信息安全环境整体上不容乐观,有74.1%的网民在此前半年遇到过安全问题,影响总人数达到了4.38亿。层出不穷的网络信息安全事件,不仅直接影响广大网民的上网体验,而且关系到互联网行业的健康发展。这是一个亟待解决的重大网络安全问题,此次携程网事件理应成为一次“亡羊补牢”的契机,所有互联网企业都应该借机排查安全隐患。否则,下一次就可能不只是虚惊一场了。
网络信息安全,除了把安全漏洞堵上之外,更重要的是厘清安全责任。从某种意义上说,目前缺乏严格的责任界定才是最大的安全隐患。一方面,我国个人信息保护立法进展比较缓慢,而现行民法、刑法中虽有个人信息保护的条文,但说法不具体、不明确,界定范围不清晰,无法打击信息安全领域的违法犯罪行为,难以发挥足够有力的信息保护作用;另一方面,由于工信部、公安部、国家保密局、国家密码管理局、银监会、证监会等部门都有规章文件涉及个人信息保护,但分散的管理主体不仅降低了监管效率,也容易逃避责任。因此,在技术堵漏之外更需要制度堵漏,要尽快出台保护个人信息的法律法规,同时加强对互联网企业的监管力度,以及对泄露用户信息企业的处罚力度。此外,网民也要提高保护信息安全的意识,不同账户最好使用不同的用户名和密码,也不要用简单的数字或者自己的名字、电话号码、手机号码等作为密码。
互联网时代没有绝对的安全,永远都是便捷与风险并存。这是一场网络安全攻防战,我们能做的就是为网络信息安全装上防盗门,把安全漏洞和隐患尽可能地排除掉。这不仅需要互联网企业加强自律,还需要尽快出台统一的法律法规,需要监管部门的大力有效监管,需要网民养成良好的信息安全习惯。
相关推荐: