博客首页|TW首页| 同事录|业界社区

文/冀勇庆

老冀在前面一篇文章中谈到了华为公司的内部网络被美国国家安全局入侵的问题,其实上个月还有一起安全事件对咱们普通人的影响更大,那就是携程的“信用卡门”。由于携程网开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意黑客读取,从而导致有可能出现大量用户银行卡信息泄露。

前不久,老冀跟梆梆安全创始人兼总裁阚志刚做过交流,他们最近正忙着帮携程修补安全漏洞。据了解,这次携程“信用卡门”的漏洞并没有出在PC网站上,而是在移动端上。由于携程最近正在大力发展移动业务,找了外包公司帮助其开发App应用。而外包公司对于移动安全的考虑不是太够,将一些程序的调试、日志和注释等信息“遗忘”在现场,据此黑客可以很轻松地找到存放用户信用卡信息的数据库并进行调用。当然,携程很快就发现并补上了这个漏洞,到目前为止也没有出现用户信用卡被盗刷的情况。

携程这次出的问题看起来比较低级,而实际上却反映了一个很严肃的问题:一味地满足用户体验是否合适?要知道,这次出问题,很大程度上就是携程为了让用户使用更加方便而对App进行升级。为了赶进度,只能用外包公司,对于开发流程的控制和管理也就不那么严密。

如果你在携程网上用过信用卡,第一次确实很麻烦,需要提供信用卡卡种、卡号、有效期、 CVV码(即信用卡背后那个3位的验证码)等一系列完整信息,然后才能提交支付。不过,当你第二次支付的时候就会很方便,只需要输入卡号的后四位,就能顺利地完成支付。你方便的代价就是留下了安全隐患。此前携程的服务器上并不留存用户的CVV码,而到了2009年为了用户体验,携程开始在服务器上留存CVV码。

在这里,越来越互联网化的携程做了很正确的事,就是用互联网思维武装自己,而互联网思维的第一要点就是要保证极致的用户体验。问题是,用户体验和系统安全往往不能得兼,如果只是片面强调用户体验,系统安全必然会被忽视,最终有可能导致灾难性的后果。到了那个时候,用户体验也没有了。

最近几年,随着互联网行业加速向传统行业的渗透,互联网已经成为显学,互联网思维似乎也成了“攻无不克、战无不胜”的终极武器。老冀同样也非常认同互联网思维,只是担心在各方的鼓噪之下,传统行业的朋友们又会矫枉过正,忽视了企业经营的基本面,但愿老冀的担心是多余的。

如果希望与老冀交流互联网思维的有关问题,请加老冀微信公众号“it老记冀勇庆”,或者搜号码“it-reporter”,期待您的真知灼见!


上一篇: 从华为“入侵门”看中国企业的信息安全
下一篇:米粉节:无社交不电商

评论

Good.Be the first to comment on this entry.

发表评论