可能很多朋友比較關(guān)心3月22日烏云爆出的攜程信用卡信息泄露的漏洞。具體過程我就不贅述了，因為明天肯定是鋪天蓋地的新聞。這次的事件很多評論文章都沒有提到PCI-DSS標(biāo)準(zhǔn)，其實通過這個簡單的維度就可以判斷哪篇評論靠譜，哪篇不靠譜。PCI-DSS是「第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)」，由VISA與MasterCard牽頭制定。凡是要做第三方支付業(yè)務(wù)，想在美國上市，必須要過這個標(biāo)準(zhǔn)。而在PCI-DSS標(biāo)準(zhǔn)中，明確的定義了如何實施數(shù)據(jù)保護(hù)，以及哪些信息是可以保存，哪些信息是不能保存(尤其是明文保存)的(比如CVV等敏感信息)。因此攜程這次是明確的違反了PCI-DSS的相關(guān)規(guī)定。

[[110428]]

因為攜程在上市的時候肯定是通過了PCI-DSS標(biāo)準(zhǔn)的，由此也可以看出一些安全標(biāo)準(zhǔn)從實施到維持是何等的艱難。而「安全標(biāo)準(zhǔn)」、「合規(guī)」的要求現(xiàn)在已經(jīng)淪落為一門生意，含金量越來越低。實施PCI-DSS的安全公司可能會給客戶提交一大堆文檔，但真正認(rèn)真去落地的公司越來越少了。所以通過了安全標(biāo)準(zhǔn)并不意味著什么，只是花錢買了個牌照而已。比如PCI-DSS的要求會產(chǎn)生很多衍生的安全需求，而VISA也投了一些安全公司，他們把這里面的大部分利益給分了。在利益關(guān)聯(lián)之下，對認(rèn)證的審核必然不會太過嚴(yán)格。

這次的事件按照攜程官方的解釋是出于調(diào)試的目的記錄了臨時日志，共涉及到93名用戶，未發(fā)現(xiàn)其他數(shù)據(jù)泄露。我相信這個漏洞的提交者「豬豬俠」并不會將這部分?jǐn)?shù)據(jù)用于惡意用途，因為他在業(yè)內(nèi)的口碑非常好，且如果想這么干，就不會把漏洞提交給烏云了。但攜程是否還存在其他問題卻不得而知。

對于用戶而言，可能會產(chǎn)生恐慌心理而要求銀行更換信用卡。但除非你以后不再用網(wǎng)上信用卡支付了，否則類似的問題短期內(nèi)還是很難避免。我相信還有很多公司比攜程做的更糟糕，更缺乏規(guī)范，特別是一些還沒有上市，沒有通過PCI-DSS認(rèn)證的公司，只是這些問題沒有被暴露在陽光下，因此你不知道而已。

對攜程來說，這次的事件與其說是技術(shù)上的漏洞，不如說是信譽上的危機(jī)。同時也讓我們看到了安全的重要性：建立用戶信任可能需要若干年，毀掉它卻只需要一天。