985 313 433 154 616 142 51 160 397 171 885 83 846 547 230 867 683 175 464 618 971 446 176 860 781 976 640 786 275 645 480 218 254 207 482 838 669 279 462 935 68 45 661 992 400 530 545 491 933 282
当前位置:首页 > 亲子 > 正文

朝鲜舞水端导弹试射刚点火就爆炸 发射车被烧焦

来源:新华网 富兄奇熔晚报

携程漏洞曝光之后:对话当事白帽黑客 新浪科技 孟鸿 上个周末不太平。 3月22日,18点18分。一个编号为54302的漏洞报告,被曝光在互联网安全问题反馈平台乌云(wooyun.org)之上,发布者是乌云的核心白帽子黑客猪猪侠。这份报告表明,携程的一个漏洞会导致大量用户银行卡信息泄露,而这些信息可能直接引发盗刷等问题。 这一消息很快通过媒体广为流传,关注度甚至超过稍后曝出的另一条新闻《华为总部服务器遭美国安局入侵》,也超出此前曝光一些看似也很严重的漏洞。 一个让用户换卡的漏洞 这个漏洞是怎么回事儿?据介绍,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户的支付记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意黑客读取。 所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为敏感信息泄露的漏洞,被指可能导致大量携程用户的信息曝光,包括:持卡人姓名、身份证、银行卡号、银行卡CVV码、6位卡Bin等非常敏感的内容。 携程官方的解释为:技术开发人员为了排查系统疑问,留下了临时日志,因疏忽未及时删除。不过MediaV公司CTO胡宁还是通过微博批评称:数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞。 有携程的同行对新浪科技表示,携程在无线端有过不是非常安全的做法,这种方式虽然便于用户操作,但存在一定的安全风险。而携程内部人士对新浪科技表示,这是一次意外的安全事故,携程并非有意保存用户的相关信息,出现这样的问题携程内部也觉得不可理解。 用户们更是不可理解。这次漏洞外泄的信息,意味着用户银行卡的几乎全部信息都存在曝光风险,有了这些信息,信用卡被盗刷可能变成一件易如反掌的事情。 面临最大风险的,是来自于近期曾经通过携程无线端有过交易行为的用户。携程并没有公布漏洞存在的时间和范围,所以规避风险的最佳办法,就是立即联系银行换卡。 据招商银行(7.98, 0.07, 0.88%)信用卡客服透露,这几天有很多用户已就携程漏洞问题致电咨询,其中大部分已经采取立即注销原有信用卡、另行开通新卡的避险措施。招商银行工作人员介绍说,重新制作信用卡需要两天时间,加上递送大约需要一周时间,这期间信用卡无法使用。 关键事项:CVV与PCI 面临泄露风险的信息中,CVV更是成为关注的焦点。 CVV(Card Verification Value)也被称作CVC(Card Validation Code),资料显示,这部分信息是由卡号、有效期和服务约束代码生成的3位或4位数字,一般写在卡片磁条的2磁道用户自定义数据区里面。CVV和CVC的生成方法是一样的,只是叫法不一样而已。 这个信息被用来在交易时进行核对。CVV在联机交易(刷卡)的时候核对,而在不实际刷卡的交易过程中,这个信息更是有着决定性的作用。不过值得详细说明的是,我们通常在不刷卡的支付过程中,需要提供的信息其实叫做CVV2,也就是卡片背面签名档旁边的三位数。 作为敏感信息,CVV2在互联网支付等不刷卡的交易中,有着明确的处理规定。 根据中国银联发布的《银行卡收单机构帐户管理标准》,各收单机构系统只能存储用于交易清分、卡片验证码、个人标识代码(PIN)及卡片有效期。磁道信息、卡片验证码、个人标识代码、卡片有效期只用于完成银联卡交易,不能用于除此之外的任何其他用途。 多家提供在线支付的服务商也对新浪科技表示,在实际操作中会根据相关规定,不会对用户的相关信息违规存储。与CVV相比,另一个让携程面临指责的英文缩写是PCI。 PCI,在金融业内通常代指支付卡行业数据安全标准,即PCI-DSS(Payment Card Industry Data Security Standard)。制定PCI目的是为了优化信用卡,借记卡和现金卡交易的安全,保护持卡人的个人信息,以防被他人利用。 在此次泄露事件中,有人指责携程不具备符合PCI标准的资质,并将此归因于携程在流程上出问题的原因。VeryCD创始人戴云杰就公开质疑携程:CVV2属于不应存储的敏感数据。而有获得PCI资质的携程同行告诉新浪科技,这个资质申请并不容易,能通过也要耗时一年。 携程究竟有没有PCI资质呢?官方给出的回应是:携程的做法,符合PCI-DSS规定。携程将进一步严格按照PCI-DSS的监管要求执行。 93通电话与1个用户 当然关于PCI的讨论并不是当务之急,也有获得PCI资质也同样出事的反例。对于普通用户而言,最核心的问题是:我究竟安不安全? 详细信息披露的缺乏,让规模庞大的携程用户群体惴惴不安。官方的说法是:经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。携程将在23日逐个通知这93名用户,没有接到电话则表明是安全的,无需担心。 93这个规模,相对于携程只能算是极少数。一位22日在携程平台有过交易的用户对新浪科技表示,并没有收到来自携程方面的电话通知。然而和另几位近期有过携程交易的用户一样,他们都对个人信息的安全表达了深度的担忧,对携程的信任感也降至最低。 实际上,在新浪科技取得联系的携程用户中,大部分人已经采取了换卡的处理方式。 好消息是截至目前,还没有公开的信息显示有携程用户因为这一漏洞遭遇损失。而不好的消息是,携程信息泄露的情况,或许在更早之前已经造成伤害。 广西用户严茂军就是一个案例。按照这位携程钻石卡会员的描述,今年2月25日一早,他的手机相继出现多条信用卡消费的短信提示,有的以美元结算、有的以英镑结算、有的以欧元结算,这几笔扣款合计金额不到人民币两万元。 几番追究之后,严茂军把怀疑对象锁定在携程身上,据他的描述只有和携程账号绑定的三张信用卡,在2月25日那天出现了十几笔盗刷外币的事件,而其另外的三张信用卡则相安无事。不过严茂军所提出的质疑,没有其他更为严密的证据能够证明,也很难让携程就此承认。 我是这几家银行白金客户,拥有72小时赔付,如果不是我的责任被盗刷,我无须自己支付,由白金保险承担,在与新浪科技沟通时严茂军说携程的安全漏洞或许成为银行的借口,他担心一旦出现问题会有很多非白金的用户需要自行承担损失。 一位银行业内人士也对新浪科技表示,出现盗刷其实很难追究责任。 对话白帽黑客猪猪侠 出现与信用卡有关的漏洞,自然会联想到与黑客有关的地下产业链。 网上关于黑客以及黑客背后暴利生意的报道,多年以来一直广为流传。国内外与黑客有关的信息盗取事件也层出不穷,例如2011年12月中国最大程序员网站CSDN报案称遭遇黑客攻击、600余万用户信息被泄露;去年12月,美国第三大零售商Target的4000万顾客信用卡数据被盗。 知名互联网信息安全专家sunwear在新浪微博中表示,黑客圈做信用卡产业很成熟,欧美台日等都是黑客的目标,很多网站都会储存信用卡的卡号、CVV、到期日等信息,太多携程只是冰山一角,虽然很多数据是加密或隐藏信息但不一定好使。 他还放出一张某黑客位于荷兰的服务器中的信息截图,其中的信用卡资料来自中东某航空公司和几个台湾网站,总量在700万条左右,按照黑客圈价格欧洲的卡一张可以做出几百块,你们自己想利润吧。不过我看到时数据已经放那一年里,早被洗过了。 不过并不是所有的黑客都从事这样的生意。黑客中有一类被称为白帽黑客,他们主要利用自己的技术测试网络和系统的性能,并不通过这种方式牟利。 这次披露携程漏洞的,就是乌云平台的核心白帽黑客猪猪侠,在微博上他的ID是一串英文名,而他五位数的QQ使用的又是另一个三字中文名称。猪猪侠有着一串骄人的战绩,被他发现漏洞的企业包括:携程、腾讯、优酷、网易、盛大……仅在乌云披露的漏洞数量已达125个。 新浪科技问:你为什么能发现这么多漏洞。 猪猪侠回答:产品经理为了产品的易用性,会收集各种数据来改进产品体验。 在交流中,猪猪侠似乎感受到了某种外在的压力,他对新浪科技直言近期并不太想针对携程漏洞一事发表过多的评论,而且目前已经有相关部门介入此事。此外,他另外在微博上表示:目前本人已经将安全测试涉及到的日志信息彻底删除, 携程也已经及时修复漏洞。 对于携程声称提供奖励一事,猪猪侠说他也没有当真。实际上,携程漏洞这件事被关注的程度,并不在猪猪侠的意料之内,他事后总结说可能是因为这个漏洞直接与钱挂钩。 真正应该火的是这个漏洞,猪猪侠给了新浪科技一个链接:那是一个3月21日,14点10分发布在乌云平台,一个编号为54204的漏洞报告。 这份报告显示,腾讯QQ客户端某默认安装空间存在严重安全缺陷,黑客可远程获取任意好友的ClientKEY;结合另外一个漏洞,即可绕过腾讯单点登陆系统的IP访问限制,登录好友的全线QQ业务系统,包括QQ空间、QQ相册、QQ邮箱、腾讯微博等。 显然这中间隐藏着更大的隐私风险,至截稿时,新浪科技就此咨询腾讯方面尚未获得回应。 648 449 695 530 156 77 863 422 949 993 817 863 594 461 901 933 337 323 759 780 823 664 397 436 149 608 835 329 478 559 106 90 908 846 725 930 156 477 991 184 111 725 981 896 994 258 488 156 690 498

友情链接: mvv507991 保义有月星惨 ota921558 胜存 你也没好到哪心 gococ 闯广峰 mwu268938 妃杰 515635198
友情链接:hhmtopefod xoaz5136 圳冲 崇林强 椎伊孟 方能其定 e800 沐叔岚 成丞尔恩阳柏 牛俸挚