攜程事件在微博上已經(jīng)沸沸揚揚了，不少朋友還不太清楚整個過程，也不了解漏洞情況， 這個事件最早被曝光是在烏云(wooyun.org，白帽子漏洞發(fā)布平臺)上的一個漏洞概述：

[[110424]]

漏洞詳情描述：

由于攜程用于處理用戶支付的安全支付服務器接口存在調試功能，將用戶支付的記錄用文本保存了下來。同時因為保存支付日志的服務器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意駭客讀取。

言下之意就是你只要用了這個接口進行支付，你提交的信息就被存在了服務器，如果有黑客可以入侵該服務器的話，就能讀取到這些內容。攜程官方給出的評論是說在調試過程中間，有兩小時左右用戶的支付信息是被明文保存在服務器上的，其中最嚴重的是信用卡信息泄露，包括但不限于持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等。比較幸運的是，這些數(shù)據(jù)沒有被保存在任何數(shù)據(jù)庫里面，只是存在日志中間，看起來很像是一場意外，比起一些直接保存私密信息進數(shù)據(jù)庫的行為，這個從責任上看是疏忽，不算是惡劣行徑。

但是注意，上面說的是如果有黑客入侵的情況。事實上還真就能入侵， 因為存在另一個漏洞——安全日志可以遍歷下載! 這個的原因據(jù)攜程自己人說是webconfig開了目錄遍歷，具體情況我也不太清楚，然而就是這個遍歷漏洞，把影響擴大了，導致用戶不得不去換卡，人心惶惶。但是這個漏洞也某種程度轉移了注意力，讓攜程把用戶的目光轉移到：消滅遍歷漏洞，就能保護住用戶隱私安全了。那么如果這個安全日志遍歷的漏洞沒有爆出來的話，就是安全了嗎?

這就好比你在我的店里消費，刷卡， 我拿去刷POS機的時候，把你的卡號和密碼記在了一張紙上，如果我把它鎖到一個保險箱里，我也不盜你的卡，你我都會相安無事，但是很不幸有一天保險箱被人撬開了，你的卡被盜刷了， 這下麻煩就來了。 攜程很不幸就中了這個獎， 我認為作為一個上市公司，這個是開發(fā)人員的疏忽，不應該影響整個網(wǎng)站的安全信譽，我相信攜程一定會重視和警惕此類事件。然而這個事件帶來的問題是，到底有多少網(wǎng)站有潛在泄露我們隱私的風險?有哪些網(wǎng)站在明文傳輸和保存我們的私密信息?

很不幸，這個答案多到讓人難以想象， 因為國內的安全意識還處在上個世紀的水平， 直到去年安全行業(yè)火了一把后，大家才開始注重網(wǎng)絡安全。很多用戶在上網(wǎng)的時候，并不會較真一些網(wǎng)站的聲明，而采取了默認的信任。 而在國外，只要涉及敏感用戶隱私的網(wǎng)站，都需要一個非常復雜的聲明，聲稱絕對不會存儲不該存儲的信息，也不會向用戶詢問隱私信息(反詐騙提醒)。 

可見，網(wǎng)絡安全技術上固然復雜繁瑣，但是技術問題不可怕，可怕的是意識問題。 我們在工作中間無論是無心還是有意的，沒有把用戶隱私放到一個神圣的地位來對待。用戶本身也不會發(fā)現(xiàn)，你平常去一個網(wǎng)站，你很可能使用的就是你支付寶的密碼， 如果這個網(wǎng)站保存下來了，你根本就察覺不到， 如果被泄露了， 在現(xiàn)行法律下，執(zhí)法機構抓不到黑客的話，也很難追究到網(wǎng)站的責任，這個苦水就只有自己吞了。

而在國外， 身份竊取或者是信用卡詐騙都是聯(lián)邦重罪， 為了預防和打擊可能的犯罪，信用卡公司和金融機構每年投入大量的經(jīng)費，聯(lián)合治理網(wǎng)絡支付安全。其中最著名的是 PCI-DSS compliance 以及信用卡3D驗證，其中PCI 是預防信息泄漏， 3D是防止盜取信息者牟利。

什么是PCI-DSS呢? 攜程的這個接口屬于站內支付，在國際上有一個標準是用來管理支付網(wǎng)站安全的，簡稱是PCI compliance， PCI就是 Payment Card Industry， DSS就是data storage security——數(shù)據(jù)安全，PCI這個標準要求非常高，是需要時事更新的。提供PCI驗證服務的公司通常會多方面地地毯式掃描，會找出各類漏洞， 還要你在申請的時候嚴格申明不能保存不該存的信息，以及不可以不使用 SSL 加密數(shù)據(jù)傳輸(避免數(shù)據(jù)嗅探)。我以前自己的網(wǎng)站申請過first data等公司的站內支付服務，PCI將我折磨地不行，而且每3個月都需要更新一次。明天我會寫一篇自己小白時期申請PCI的慘痛經(jīng)歷。

再說一下3D驗證， 這個在不同國家有不同的做法，多數(shù)是通過大數(shù)據(jù)檢驗你是否是在常用設備和IP上登錄，以及你的行為是否正常(盜取paypal的黑客即便是在被盜用戶自己的機器上都有可能在提現(xiàn)時被鎖號) 如果不是的話彈一個小窗，需要輸入更加隱私的信息， 可以是銀行的密碼保護問題，也可能是生日，社會保險號等，目的是驗證使用者確實是你。

以上兩路大招加起來是否能完全避免信息泄露的損失呢? 當然也做不到100%絕對安全， 但是至少這體現(xiàn)了一種態(tài)度和意識。國內大多數(shù)公司平常不把安全落實到實處， 得過且過，順其自然。 等到出了問題的時候再修復和危機公關。我相信攜程一定有能力做到完全的PCI compliance 并且時時刻刻保持更新， 也有這個實力去把網(wǎng)絡安全措施做到國際水準，但是它卻沒有做到，就跟大多數(shù)其他網(wǎng)站一樣。那為什么沒有機構去監(jiān)管這樣的行為呢? 在一個連地溝油毒奶粉沒有FDA這樣的嚴格標準監(jiān)管的地方，PCI確實不是一個性價比高的東西，還不如花點錢多投點廣告來點流量更實際。