最近携程被爆信用卡信息泄露事件,事件内容:http://www.wooyun.org/bugs/wooyun-2010-054302
携程声明:http://pages.ctrip.com/commerce/promote/201403/other/xf/index.html
各种互联网大公司网站各种漏洞:http://www.wooyun.org/index.php
首先,用户通过携程订票在支付时,会将自己的信用卡支付信息在携程的页面中填写好,然后携程通过银行给的接口将表单信息传送给银行进行验证,在这个过程中,携程的技术人员在调试接口的过程中,把信用卡支付信息无间留在了服务器的日志中,必须说明下这里银行给的接口中含的CVV码,密码支付信息是明文的,问题出在这里!
平常我们通过支付宝的银行通道进行网购时,支付宝不会传输我们的银行卡信息,而只要订单信息,转到银行官网进行支付,个人觉得这是一条相对安全的通道,就是有关支付信息的内容(特别是CVV码,密码等信息)都应该在银行这端进行输入操作而不应该在第三方支付平台。
不管是传统的互联网支付还是心在火热的移动互联网上的支付,安全都应该是最重要的主题。
在PC端,个人电脑中病毒是常有的事,一旦有相关支付的信息被病毒记录,那对于用户的账户安全来说是致命的,这时最安全的方式就是单有卡号和密码是不能在网上消费的,每次支付必须还要有手机的动态密码,这样才能保证用户资金的100%安全,当然在这点上很多银行还是做得有欠缺的!
在移动端,手机上的各种监听监控程序多得数不来,不管是移动web支付还是app支付,都是需要密码或者9个点连线的密码,但是这也可能被手机程序记录下来,一旦记录并被黑客利用,那用户的资金安全显然受到很大的威胁,特别是启用快捷支付的用户们。移动支付如果要100%资金安全,现在来说是不可能的,当然如果你的手机是大厂商非山寨而且以前没有随便装些小厂商小开发者开发的app,那么移动支付对您的风险来说会小很多。
总之,网上支付没有100%的安全,最好装360等杀毒软件,保持系统每天更新,少上些不知名的网站,如果您的PC或者Phone是用来网上支付的话,紧个人建议!
最后建议那些使用快捷支付的同学们,朋友们,建议开通快捷支付的银行卡上余额不要太多(选用非工资卡等余额较低的银行卡),降低风险,因为个人感觉这个东东很不靠谱,第二次支付不会有任何短信验证的,不需要再次输入密码!
从携程信用卡信息泄露事件谈网上支付安全,布布扣,bubuko.com
原文:http://blog.csdn.net/yangzhenping/article/details/21937465