理應(yīng)說這次重大事件發(fā)生，攜程應(yīng)當(dāng)?shù)谝粫r(shí)間通知用戶，而不是通知烏云?？磥頂y程這次出大事了，那我想從技術(shù)角度看看攜程到底犯了哪些錯(cuò)。

1、保存CVV等同于保存用戶密碼

進(jìn)入支付金額這一流程，攜程只要求輸入身份證號(hào)、持卡人姓名、信用卡卡號(hào)、信用卡卡背面上三位CVV安全碼，交易就宣告成功，根本無需輸入信用卡密碼。

說的通俗點(diǎn)，CVV安全碼等同于密碼，所以很多有戒備心的用戶都是在辦理信用卡后將后三位涂摸掉，以防刷卡時(shí)被人發(fā)現(xiàn)，就可以直接刷其信用卡的現(xiàn)金。

而攜程私自保存CVV安全碼的行為，其本質(zhì)上就是在用戶輸入交易密碼私下留存的行為，這種行為也是銀行明文禁止的，攜程作為這樣一個(gè)大公司，居然私自保存用戶CVV安全碼，著實(shí)讓人不可思議。 

2、明文保存

再將CVV安全碼同支付寶密碼，銀行卡密碼作對(duì)比，又暴露了什么問題？

首先任何網(wǎng)站的用戶的密碼都應(yīng)當(dāng)是經(jīng)過不可逆轉(zhuǎn)的加密保存，無法明文保存，用非技術(shù)的話來說就是數(shù)據(jù)庫后臺(tái)工程師看到的用戶密碼都無法進(jìn)行任何操作，因?yàn)榧僭O(shè)原來用戶的密碼是“123123”那么后臺(tái)密碼就可能是“SDF23KLFAS2323KK4”之類的經(jīng)過復(fù)雜算法后的暗碼。

如果攜程此次是將CVV加密保存，那么就算是被檢查出有漏洞，也絕不會(huì)有太大危險(xiǎn)。

我們再次回看2011年，CSDN被爆明文保存密碼被拖庫事件：

（1）CSDN帳號(hào)數(shù)據(jù)庫是明文保存密碼嗎？

2009年4月之前是明文，2009年4月之后是加密的，但部分明文密碼未清理；2010年8月我來CSDN以后清理掉了所有明文密碼。所以從2010年9月開始全部都是安全的，9月之前的有可能不安全。

（2）我的CSDN帳號(hào)是安全的嗎？需要修改密碼嗎？

如果你是2009年4月以前注冊的帳號(hào)，且2010年9月之后沒有修改過密碼，請立即修改密碼；

如果你是2009年4月以后注冊的帳號(hào)，且2010年9月之后沒有修改過密碼，建議修改密碼；

如果你是2010年9月以后注冊的帳號(hào)，不必修改密碼，但郵箱有泄露可能性；

如果你是2011年1月以后注冊的帳號(hào)，帳號(hào)，密碼和郵箱都非常安全；

從中說明了一件事，一旦用明文保存用戶信息有過一段時(shí)間，都是很危險(xiǎn)的事情，哪怕你之后將明文改成了暗文，只要之前的數(shù)據(jù)被黑客得到過，都會(huì)遭遇極大危險(xiǎn)。 

3、無法兌現(xiàn)賠付承諾

可以試想一下，只要用信用卡支付過一次的攜程用戶都會(huì)遭遇到被刷卡的風(fēng)險(xiǎn)。而用戶解決的唯一方法就是換卡。攜程聲明中聲稱沒有用戶出現(xiàn)被盜的情況，但是還是通知用戶去換卡，只能說明心虛無疑。而一旦用戶的信用卡被盜刷，如果要想投訴攜程，恐怕攜程也不太可能承認(rèn)，如果承認(rèn)將會(huì)出現(xiàn)更大危機(jī)，而用戶也無法找到任何證據(jù)說明自己信用卡被盜刷是因?yàn)閿y程的原因。

所以攜程關(guān)于“倘若發(fā)生安全漏洞并引起用戶損失，攜程將給予全額賠付?！钡某兄Z只是一句漂亮的空話而已，在具體落實(shí)的層面是極難操作的。 

4、危險(xiǎn)可能已經(jīng)發(fā)生

攜程該漏洞只是在烏云大牛豬豬俠發(fā)現(xiàn)后被補(bǔ)上，但完全不排除已經(jīng)有其他高手早已將之攻破，已經(jīng)在進(jìn)行暗箱操作。

信用卡有支付限制，每天只能小額轉(zhuǎn)移，在大額轉(zhuǎn)以上還需要手機(jī)認(rèn)證，但如果黑客坐擁如此海量攜程用戶，并且每天像是在羊群身上抽羊毛，用戶都不會(huì)覺得痛，只需要幾天時(shí)間，便可以將大量現(xiàn)金轉(zhuǎn)賬，仔細(xì)想想，這也是一件非?？植赖氖虑?。

這就像CSDN之前是用明文保存的用戶只要不修改密碼，就一定可以被黑客利用是一個(gè)道理，哪怕09年4月以后CSDN使用了暗碼保存也同樣沒用，這個(gè)數(shù)據(jù)庫已經(jīng)拖出來了，已經(jīng)無法挽回了。

是否攜程用戶的數(shù)據(jù)已經(jīng)被其他黑客截取正在進(jìn)行著地下轉(zhuǎn)移，我們都不知道，只希望還是不要的好。

所以奉勸曾經(jīng)在攜程上使用過信用卡的用戶，以防萬一，還是趕緊換卡為妙。攜程自己都不敢百分之百保證安全，還是通知部分用戶去換卡，為了保險(xiǎn)起見建議大家換卡，小心下一個(gè)被刷卡的可能就是你。

從遠(yuǎn)期的人人，CSDN，天涯被曝拖出明文數(shù)據(jù)庫，再到近期的全球最大比特幣交易網(wǎng)站Mt.Gox被黑客盜走75萬比特幣，以及剛剛發(fā)生的攜程事件，這個(gè)網(wǎng)絡(luò)世界著實(shí)讓人感到不安全，我們需要交易需要服務(wù)，但同時(shí)我們也需要更加安全的平臺(tái)來保護(hù)我們的利益，而不是讓我們隨時(shí)陷入恐慌之中。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900