携程漏洞后续：三大恐慌远超实际危害

3月22日携程出现重大安全漏洞，携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露 (包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。

尽管漏洞仅持续了两个多小时，不过事件引发的恐慌仍在持续。目前看来，该漏洞引发的担忧和愤怒大大超过了漏洞造成的实际危害本身。

恐慌远超实际影响

根据携程官方的说法，目前并没有监测到有用户出现信用卡被盗刷现象，且该漏洞仅影响到了93名用户，携程已经通过电话通知用户更换信用卡，并给予每人500元礼品卡作为补偿。

同时携程承诺若发生盗刷，携程将赔偿用户损失。

国内顶级白帽安全团队Keen Team的安全专家表示，被泄露的日志也并不像传闻所说的不安全，在安全支付日志中被错误记录的用户敏感信息，包括信用卡号、信用卡有效期、信用卡CVV三位验证码是经过AES加密后存储在安全日志中的。在加密密钥没有对外泄露的情况下，AES的加密强度足以抵御来自民间的解密尝试，加密处理过的用户信息在一定程度上还是得到保障的。

按照上述解释，本次漏洞虽然听上去惊悚，但是实际影响是：1、只有3月21-22日消费的93名用户受影响;2、携程将承担用户损失;3、被泄露的日志也很难被黑客利用。

不过用户的负面情绪并没有因为这些解释而有所缓和，直到携程发出解释后，多家银行的客服电话仍然被打爆，有用户甚至愤怒得剪毁了绑定的银行卡，有用户在携程官方微博中评论道，此事的重点不在于漏洞，而在于违法存储用户信息，而500元赔偿的行为也被指避重就轻。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友