过爆了的「携程信用卡事件」

 

愤怒地表达我的一些看法！给那些不懂乱喷的人。

趟进浑水

昨天乌云爆的：

携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 。

知乎上有人问：

携程信用卡信息被泄露，除了更换信用卡还有什么别的好方法处理么？

我看到好多回答都是：换卡之类的。由于我自己就是携程用户且使用了信用卡，所以昨晚特别重视此事，仔细分析了一遍后发现，这个问题被夸大了！于是在知乎做了个回答，如下：

强烈反对大多数回答！

这个问题应该分开来看待。

首先，「携程记录用户信用卡隐私信息」这个行为是错误的，这个毋庸置疑。

其次，除了携程自己，任何与支付有关的公司都应该加强自己的安全性，这个实际上支付有关公司都很重视，只是有没有做好又是另一码事了。

再次，这次「用户信用卡隐私信息」泄露了多少我们并不知道，很多人过于紧张的原因是觉得：

「白帽子找到了问题」==「泄露了」

携程应该会放出详尽的调查分析结论，比如：有没有泄露，泄露的范围是什么（几天内的？还是某些用户群体？）等等。

如果你真的太敏感，确实可以考虑冻结先，至于换不换卡，让子弹再飞会吧。

遗憾地发现这个问题被垫底了，说明反对的居多……有很多人说我有失中立。就这样我趟进了这摊浑水……

现在情况如何

我们先来看下现在的进展是怎样的吧，下面3张图，其中ringzero就是乌云爆携程问题的猪猪侠。

大家仔细看完官方与ringzero的说法了吗？今天一整天我都在关注官方进展，能这样及时处理并逐渐发布负责任的声明已经很中肯了！至少这点我们需要肯定。

我估计很多人看了官方与ringzero的微博会放心很多。

下面来看看这次爆点的几个争论点。

争论一

大多数人都在纠结「泄露」这个词。乌云上说：

携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 。

我自己本身就是安全圈的，我太能明白什么是「泄露」了！！！

多少人以为这里的「泄露」是指「已经泄露」，实际上这里的「泄露」是指「可以泄露」！！！

然后有人开始不负责地说：既然这样的问题这么明显，肯定早就有黑客发现了！猪猪侠肯定不是第一个发现的！

我当然相信这种可能性，但是这种可能性在我看来与XX银行的相关隐私被拖的可能性一样。搞安全的谁不知道，漏洞时时有，只是有没有人发现并利用。

在我看来如果携程真的处理及时，同时猪猪侠本着负责任的态度，这种「已经泄露」的可能性就一般了。

而大多数人毫不负责，大势渲染。你是真不懂，还是为博个眼球？！

如果你要和我争论：「可，确实存在可能性啊！」我只能回你：「你告诉我，在互联网上你哪还有隐私了？！！！！什么目标黑不了的？！」

争论二

「携程记录用户信用卡隐私信息」这个行为是错误的。

当然，你看我知乎的回答也是这样认为的，这个当然是错误了，哪怕携程说是因为调试功能的开启，留下了临时日志。这个违反了PCI-DSS（支付卡行业的数据安全标准）。

信用卡被盗刷的手段好些，很多时候这点记录的隐私信息就可能导致信用卡被盗刷。

估计没人反驳我这点吧？不过很多人避重就轻，忽视了我的这个态度。甚至有人认为我是携程的托，托个毛啊，携程又没给我半毛子钱！而且我自己还是这次事件的受影响者！

携程确实需要为这样的错误付出代价，不过那些在背后冷笑的相关公司，你们好好看看自己吧，别笑了他人，忘了自己……真以为自己就没问题了么？今天我电话了相关公司负责安全的朋友，我问：「这事对你们什么影响？」他说：「周末加班……我们也得好好查查我们是否有问题……」

有一点我特别提下：调试留下的临时日志，和用数据库记录还是有区别的，至少这个调试信息并非真的想记录，仅是为了调试目的。

关于这点，我不能保证官方的说法就一定对，但至少我不能证明这是错的。

争论三

很多人可能忽略了一点，就是，信用卡这玩意确实太太太方便了！很多人被那么多铺天盖地的报道弄怕了，纷纷表示要换卡。当然我并不反对，如果这样能让你安心，多好……

可别忘了，由于信用卡太太太方便，你真的很难把控信用卡在其他地方使用时不会出现类似的问题，在用户隐私大泄露的时代，想知道你的身份证、手机号、真实姓名，知道你的信用卡号、CVV码、过期时间等等都不是件难事。

如果你不想每次都被无良媒体弄得一惊一乍，惶惶不可终日的话，我建议你最好保持良好的隐私保护习惯（关于这点我会单独发文，这里不作为重点，仅提下信用卡好习惯）：

消费短信提醒，你开通了吧？出问题，尽快致电客服处理。

信用卡上3位数的CVV码、过期时间等不要轻易暴露给陌生人，包括服务员……

信用卡丢失后，尽快致电客服处理。

网络交易，保持谨慎，这个不是三言两语可以道清的……

看完我写的这些，知道我的态度了吧？不要给我证明什么，甚至过几天真的有人爆自己在携程上使用过的信用卡被盗刷了，也不要给我提，这些并不能证明我的态度是错误的。

这次的事件在我看来「过爆了」。

我从这件「过爆」的事件也学会了一点，很多时候，我们自己运作的一些安全题材，也难免片面而导致夸张。最终用户最关心的还是解决方案，我准备就隐私安全专门用心写出一篇文章，洗涤洗涤下这些「过爆」的气氛。

未来，这个事件对于整个行业来说是「利好」的，在这个层面上来说，我觉得很好。

最后，我的信用卡还是原样躺在那……

----------------------------

余弦，黑客，来自知道创宇的懒人。

在微博、知乎、豆瓣、GitHub、我的博客（http://evilcos.me

）等都可以找到“余弦”。

欢迎感兴趣的人收听我这个微信公众号：“lazy-thought”。