談談攜程支付日誌泄漏與用戶隱私

話前聊一聊

首先感謝大家的關注，發現前一篇文章發完後，互動多了，挺喜歡這種方式的。我是喜歡大家多跟我溝通，提問或者留言的，我很願意回答大家的問題，也很願意跟大家溝通，希望大家不吝賜教。

以後也會更多的講一些接地氣的東西，比如以下這篇

微博上的漏洞

我比較喜歡經常去微博逛逛，因為經常能在微博上看到很多最新的消息和好的學習資料，剛在前一篇文章寫完發布出去，習慣性的逛著微博，就看到了關於攜程支付日誌漏洞的微博。

點進wooyun鏈接（http://www.wooyun.org/bugs/wooyun-2014-054302#0-tsina-1-14334-397232819ff9a47a7b7e80a40613cfe1），可以看到漏洞的簡介。大概的意思是說攜程支付介面開啟了調試，所有向銀行驗證信用卡信息的數據包保存在了伺服器。另外又因為支付日誌存儲的伺服器存在目錄遍歷漏洞，於是日誌就可以被遍歷。根據漏洞提交者的說明，而日誌里可以獲取到（以下複製自漏洞簡介）：

持卡人姓名

持卡人身份證

所持銀行卡類別（比如，招商銀行信用卡、中國銀行信用卡）

所持銀行卡卡號

所持銀行卡CVV碼

所持銀行卡6位Bin(用於支付的6位數字)

在漏洞信息的下方有這樣一個被置頂評論，發了一個文章的鏈接攜程網被疑儲存用戶信用卡信息 存在泄露風險http://finance.china.com.cn/industry/company/20140110/2111174.shtml

在文章發布的時候，攜程官網已做回復：

為什麼要保存用戶信用卡信息？這是一個值得關注的問題，而且早在1月份的時候就已經有暴露的端倪，卻沒有去處理。官方的回復明顯不能讓大家滿意。讓我們靜待事情的發展。

泄漏信息解讀

那麼攜程這次泄漏的信用卡信息又有什麼用呢？

我們先來看看泄漏的這些信用卡的信息：

持卡人姓名

持卡人身份證

所持銀行卡類別（比如，招商銀行信用卡、中國銀行信用卡）

所持銀行卡卡號

所持銀行卡CVV碼

所持銀行卡6位Bin(用於支付的6位數字)

前四者就不用多說了，相信大家一看就知道。

信用卡BIN，指的是發卡行識別碼，英文全稱是 Bank Identification Number，縮寫為 BIN，比如工行的就是62122。

那麼什麼是CVV碼?來看下百度百科的解釋：http://baike.baidu.com/view/2324253.htm

CVV全稱是Card Verification Value，翻譯過來就是卡驗證值。看到驗證這兩個字，我想大家就應該理解它的重要性了。

簡單點說，就是如果知道你的卡號、和CVV碼，就大部分情況下就可以直接付款了。

看幾篇文章：

蕪湖市民幾分鐘被盜刷2萬 信用卡cvv碼不要輕易泄露__萬家熱線

信用卡CVV碼泄露易遭盜刷

信用卡的第二密碼——cvv碼 你知道嗎？

信用卡密碼成浮雲 CVV碼是最後保障

發了這麼多文章，就是想告訴大家CVV碼的重要性。

所以大家可以想像，這次泄漏出來的信息意味著什麼！意味著如果你在攜程用信用卡消費過，如果已經有黑客把日誌爬走了，那麼他可以用日誌里的那些信息直接讓你替他付款。

除了信用卡可能被刷，大家可以想想信用卡的其他作用，拿著你的姓名、身份證、信用卡信息可以做的壞事多了去了。

當然，大家也沒必要恐慌，可以繼續關注事態發展，以上的情況都是在你的信用卡信息已經被爬取的前提下，只是想跟大家說明泄漏的信息的重要性，大家靜待官方的回復。

歷史隱私事件

何謂隱私？百度百科是這樣解釋的:"隱私是一種與公共利益、群體利益無關，當事人不願他人知道或他人不便知道的個人信息，當事人不願他人干涉或他人不便干涉的個人私事，以及當事人不願他人侵入或他人不便侵入的個人領域。"

今年以來，去年到今年來發生了挺多的隱私事件：

1、360上傳用戶隱私

2、稜鏡事件

3、搜狗輸入法隱私事件

4、央視曝光高鴻股份軟體侵犯隱私

5、微信視頻「泄漏」

6、支付寶信息泄露

....

先不論這些事件是否真實，但越來越多的關於用戶隱私的事情被大眾所關注

這次攜程的事件如果確認，那麼也是一次隱私事件，而這個隱私還涉及到了信用卡，事關金錢，我想大家還更為關注。

像這次的事件，似乎目前也沒有其他辦法，大家可以選擇先凍結信用卡，使用新卡。

另外，大家也可以關注這個問題，看看有沒有更好的處理辦法

攜程信用卡信息被泄露，除了更換信用卡還有什麼別的好方法處理么？http://www.zhihu.com/question/23131107

如何保障信用卡信息等隱私安全

當事件發生的時候，如何去保護自己的隱私呢？

在互聯網廠商方面，不應該保存用戶的如信用卡的這些隱私資料，當在必要的情況下，應該對用戶的隱私安全負責。這次，攜程作為落水鴨該被眾人嫌棄了，而其他的互聯網廠商估計也在各種檢查。

而作為用戶或者作為普通網民，我們又何如去保護自己的隱私？信用卡安全？

隱私方面的一些安全處理我就不多說，大家可以看cos的文章：用戶隱私早淪陷了（二）

今天主要跟大家講講如何保證信用卡的使用安全

1、任何信用卡，信用卡背面三位碼一定要保護後，有必要的話可以用貼紙蓋住或者直接刮掉（當然前提是自己記住）。

2、不要向任何人、在任何場所透露信用卡的信息，包括姓名、卡號、有效期等。

3、拿到新卡的時候在背面簽名，使用簽名消費而不是密碼支付消費。一般而言，在信用卡沒有密碼的前提下，主要由商家比對簽名來查核持卡人身份，在簽名存在明顯差異的情況下，商家無疑要對盜刷得逞承擔主要責任。

4、在出現卡丟失或者可能導致盜刷的情況下，如這次事件，應該第一時間掛失或者凍結信用卡。

5、如果可以，可以開通信用卡的消費提示，這樣在被盜刷的情況可以第一時間得知，也可以第一時間聯繫銀行處理。

6、不要在網吧等公共電腦使用網銀進行網上交易。

7、在刷卡的時候如果是密碼支付，注意遮擋，注意查看金額，另外不要隨便丟棄刷卡的小票。

有許多平時在生活中使用信用卡的注意事項，大家都需要注意，主要還是需要養成一定的安全意識。

如何消除自己在網上的痕迹

看到隱私的各種問題，應該就有同學想著要把自己在網上的隱私、資料、痕迹之類的刪除掉了。恭喜這位同學，已經有人想到了你同樣的問題，並且已經在知乎上提問過了。

大家先去看看蘑菇發的文章：http://mp.weixin.qq.com/s?__biz=MzA3NDMwODAyNg==&mid=200240216&idx=1&sn=da7d6e275d9cb849231934153cf093c3#rd（如何完全抹除自己在網上的痕迹）

然後說說自己的想法，說實在的，完全抹除痕迹，基本是不可能，除非你是個剛接觸電腦的，就註冊了那麼一兩個帳號啥的，才有那可能性

為什麼會有社工？為什麼會有搜索引擎？...想想你就明白了

然後想著抹除痕迹，倒不如想著用垃圾信息去覆蓋痕迹（這裡的覆蓋可不是update），把那些你覺得有影響的信息覆蓋沉寂。把互聯網想成一個大缸，你的那些信息及痕迹是一層沙，那麼就繼續往裡倒其他的沙，那麼想找到底部的沙就得費些功夫了。

結語

當用戶隱私已經越來越受普通網民跟大眾關注的時候，我想廠商應該更多的去想想如何保護用戶的隱私而不是如何賺錢了。這次的攜程事件，給廣大互聯網廠商敲響一個警鐘。同時大家在平時生活、上網之中也應該加強對自己隱私的保護，特別是牽扯到個人金錢利益的，我想不用我多說大家也知道重要性。

---------------------------------後續-------------

截止到23號，官方做了一個聲明

----歡迎收聽我的公眾帳號，關注我的知乎專欄----

知乎專欄：http://zhuanlan.zhihu.com/fooying

微信公眾帳號：添加公眾帳號搜索0xsafe或直接添加好友搜索oxsafe

或掃描下方二維碼

推薦閱讀：