class="topic_img" alt=""/>
话前聊一聊
首先感谢大家的关注,发现前一篇文章发完后,互动多了,挺喜欢这种方式的。我是喜欢大家多跟我沟通,提问或者留言的,我很愿意回答大家的问题,也很愿意跟大家沟通,希望大家不吝赐教。
以后也会更多的讲一些接地气的东西,比如以下这篇
微博上的漏洞
我比较喜欢经常去微博逛逛,因为经常能在微博上看到很多最新的消息和好的学习资料,刚在前一篇文章写完发布出去,习惯性的逛着微博,就看到了关于携程支付日志漏洞的微博。
original="http://p2.zhimg.com/a3/ac/a3acb6f93a005ae67c5fdaa7313eb369_r.jpg" />
点进 wooyun 链接(http://www.wooyun.org/bugs/wooyun-2014-054302#0-tsina-1-14334-397232819ff9a47a7b7e80a40613cfe1),可以看到漏洞的简介。大概的意思是说携程支付接口开启了调试,所有向银行验证信用卡信息的数据包保存在了服务器。另外又因为支付日志存储的服务器存在目录遍历漏洞,于是日志就可以被遍历。根据漏洞提交者的说明,而日志里可以获取到(以下复制自漏洞简介):
持卡人姓名持卡人身份证
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
所持银行卡卡号
所持银行卡 CVV 码
所持银行卡 6 位 Bin (用于支付的 6 位数字)
在漏洞信息的下方有这样一个被置顶评论,发了一个文章的链接携程网被疑储存用户信用卡信息存在泄露风险。
在文章发布的时候,携程官网已做回复:
为什么要保存用户信用卡信息?这是一个值得关注的问题,而且早在 1 月份的时候就已经有暴露的端倪,却没有去处理。官方的回复明显不能让大家满意。让我们静待事情的发展。
泄漏信息解读
那么携程这次泄漏的信用卡信息又有什么用呢?
我们先来看看泄漏的这些信用卡的信息:
持卡人姓名持卡人身份证
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
所持银行卡卡号
所持银行卡 CVV 码
所持银行卡 6 位 Bin (用于支付的 6 位数字)
前四者就不用多说了,相信大家一看就知道。
信用卡 BIN,指的是发卡行识别码,英文全称是 Bank Identification Number,缩写为 BIN,比如工行的就是 62122。
那么什么是 CVV 码?来看下百度百科的解释:http://baike.baidu.com/view/2324253.htm
CVV 全称是 Card Verification Value,翻译过来就是卡验证值。看到验证这两个字,我想大家就应该理解它的重要性了。
简单点说,就是如果知道你的卡号、和 CVV 码,就大部分情况下就可以直接付款了。
看几篇文章:
发了这么多文章,就是想告诉大家 CVV 码的重要性。
所以大家可以想象,这次泄漏出来的信息意味着什么!意味着如果你在携程用信用卡消费过,如果已经有黑客把日志爬走了,那么他可以用日志里的那些信息直接让你替他付款。
除了信用卡可能被刷,大家可以想想信用卡的其他作用,拿着你的姓名、身份证、信用卡信息可以做的坏事多了去了。
当然,大家也没必要恐慌,可以继续关注事态发展,以上的情况都是在你的信用卡信息已经被爬取的前提下,只是想跟大家说明泄漏的信息的重要性,大家静待官方的回复。
历史隐私事件
何谓隐私?百度百科是这样解释的:"隐私是一种与公共利益、群体利益无关,当事人不愿他人知道或他人不便知道的个人信息,当事人不愿他人干涉或他人不便干涉的个人私事,以及当事人不愿他人侵入或他人不便侵入的个人领域。"
今年以来,去年到今年来发生了挺多的隐私事件:
1、360 上传用户隐私
2、棱镜事件
4、央视曝光高鸿股份软件侵犯隐私
5、微信视频“泄漏”
6、支付宝信息泄露
....
先不论这些事件是否真实,但越来越多的关于用户隐私的事情被大众所关注
这次携程的事件如果确认,那么也是一次隐私事件,而这个隐私还涉及到了信用卡,事关金钱,我想大家还更为关注。
像这次的事件,似乎目前也没有其他办法,大家可以选择先冻结信用卡,使用新卡。
另外,大家也可以关注这个问题,看看有没有更好的处理办法
携程信用卡信息被泄露,除了更换信用卡还有什么别的好方法处理么?http://www.zhihu.com/question/23131107
如何保障信用卡信息等隐私安全
当事件发生的时候,如何去保护自己的隐私呢?
在互联网厂商方面,不应该保存用户的如信用卡的这些隐私资料,当在必要的情况下,应该对用户的隐私安全负责。这次,携程作为落水鸭该被众人嫌弃了,而其他的互联网厂商估计也在各种检查。
而作为用户或者作为普通网民,我们又何如去保护自己的隐私?信用卡安全?
隐私方面的一些安全处理我就不多说,大家可以看 cos 的文章:用户隐私早沦陷了(二)
今天主要跟大家讲讲如何保证信用卡的使用安全
1、任何信用卡,信用卡背面三位码一定要保护后,有必要的话可以用贴纸盖住或者直接刮掉(当然前提是自己记住)。2、不要向任何人、在任何场所透露信用卡的信息,包括姓名、卡号、有效期等。
3、拿到新卡的时候在背面签名,使用签名消费而不是密码支付消费。一般而言,在信用卡没有密码的前提下,主要由商家比对签名来查核持卡人身份,在签名存在明显差异的情况下,商家无疑要对盗刷得逞承担主要责任。
4、在出现卡丢失或者可能导致盗刷的情况下,如这次事件,应该第一时间挂失或者冻结信用卡。
5、如果可以,可以开通信用卡的消费提示,这样在被盗刷的情况可以第一时间得知,也可以第一时间联系银行处理。
6、不要在网吧等公共电脑使用网银进行网上交易。
7、在刷卡的时候如果是密码支付,注意遮挡,注意查看金额,另外不要随便丢弃刷卡的小票。
有许多平时在生活中使用信用卡的注意事项,大家都需要注意,主要还是需要养成一定的安全意识。
如何消除自己在网上的痕迹
看到隐私的各种问题,应该就有同学想着要把自己在网上的隐私、资料、痕迹之类的删除掉了。恭喜这位同学,已经有人想到了你同样的问题,并且已经在知乎上提问过了。
大家先去看看蘑菇发的文章:http://mp.weixin.qq.com/s?__biz=MzA3NDMwODAyNg==&mid=200240216&idx=1&sn=da7d6e275d9cb849231934153cf093c3#rd(如何完全抹除自己在网上的痕迹)
然后说说自己的想法,说实在的,完全抹除痕迹,基本是不可能,除非你是个刚接触电脑的,就注册了那么一两个帐号啥的,才有那可能性
为什么会有社工?为什么会有搜索引擎?...想想你就明白了
然后想着抹除痕迹,倒不如想着用垃圾信息去覆盖痕迹(这里的覆盖可不是 update),把那些你觉得有影响的信息覆盖沉寂。把互联网想成一个大缸,你的那些信息及痕迹是一层沙,那么就继续往里倒其他的沙,那么想找到底部的沙就得费些功夫了。
结语
当用户隐私已经越来越受普通网民跟大众关注的时候,我想厂商应该更多的去想想如何保护用户的隐私而不是如何赚钱了。这次的携程事件,给广大互联网厂商敲响一个警钟。同时大家在平时生活、上网之中也应该加强对自己隐私的保护,特别是牵扯到个人金钱利益的,我想不用我多说大家也知道重要性。
---------------------------------后续-------------
截止到 23 号,官方做了一个声明
----欢迎收听我的公众帐号,关注我的知乎专栏----
知乎专栏:http://zhuanlan.zhihu.com/fooying
相关文章
