消息:安全漏洞预警平台乌云wooyun连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意还可读取,日志可以泄 露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。
在这个事件中,虽然携程很快修正了漏洞,但是我们看到了携程在处理信用卡信息方面有很多不合规、甚至有违法嫌疑的产品技术细节,这些对用户隐私权和信息安全的蔑视和亵渎让人毛骨悚然。携程绑定信用卡cvv码、身份证等核心信息,就等于取得信用卡的一切权限,一旦被黑客拿走,黑客可以任意刷用户的信用卡,这个环节的安全隐患十分可怕。更可恨的是携程保存用户信用卡关键信息并没有进行有效加密,这意味着一旦黑客在服务器上遍历目录,就可能大量获取直接可读的用户信用卡核心信息,同样,对于携程员工而言,他们从后台也存在直接看到用户信用卡核心信息的潜在可能性,携程这样的上市公司居然会出现如此低级的错误,有关法律部门应该追究携程是否主观故意的法律责任。
在用户隐私权不被携程尊重的同时,我们互联网行业同样要反思一个企业技术伦理的问题,携程为什么要存自己不该存的信息,为什么不进行有效加密,互联网企业要明白自己不是银行,没有权利看到用户的信用卡全息基础信息,可能企业有这样那样的借口或理由,但是,这时候企业是选择冒着高风险上线,而是选择尊重的基本权利,这是一个法律问题,也是一个企业技术伦理问题。
之前的CSDN和几大网站的拖库门,已经让网民看到了很多互联网公司的致命低级安全构架,无论是g层面的原因还是其他原因,企业都没有理由破坏最基本的技术伦理,互联网企业作为信息密集型企业,如果在信息安全的用户入口就出现低级错误,那么,用户就等于在互联网上裸奔了。对于网民而言,大家就应该用脚投票,一旦发现某些互联网站点或企业不尊重隐私和最基本的技术伦理,那么就要毫不留情地远离他们,永远地远离他们,这是他们应得的惩罚。
看到美国google等在与美国政府关于用户隐私方面不断地交涉和斗争,国内互联网企业也应该联合起来,破除一些影响最基本用户安全的错误政策,目前,马云、马化腾、雷军等都成为中央的座上宾,这些问题都可以提出来解决,而不是一味地沉默。
对于某些明知用户隐私危险、有技术能进行有效加密的企业和站点,如果故意想窥探或保存用户关键隐私信息,执法部门应该有所表示,因为这种情况下,很可能背后有黑色产业链,在黑产发达的中国互联网界里,什么无耻的人都有,某些知名互联网企业也参与利用木马插件等推广绑定自己产品,这几乎是常见的。
中国网民应该觉醒了,现在互联网服务几乎没有哪家是绝对不可替代的,哪一家耍流氓或亵渎你的隐私,你就要果断地永远抛弃他们,不需要宽容,不需要理解,让尊重用户隐私权利成为互联网和企业生存的最底线,这才能让整个环境更健康和安全。