評論：攜程為何犯低級安全錯誤

　　視點

　　存儲用戶支付資訊、明文保存用戶密碼……網站進行這些不規範操作，表面上是為了提供更簡潔的流程，實質上卻是以犧牲用戶網路安全為代價。

　　攜程被曝支付日誌存在漏洞，用戶銀行卡資訊可被駭客任意讀取。這件事情引起的震動頗大，周圍很多人第一時間致電發卡銀行，請求更換信用卡或挂失，因接入用戶過多，一些銀行客服電話還遭遇佔線，這是以前從未遇到過的。

　　儘管爆出消息的烏雲漏洞平臺在報告時措辭比較專業，但“可被任意駭客讀取”幾個字消費者還是懂的，這也是恐慌的根源。

　　事件發生後，攜程在微博上説“向用戶誠懇道歉”，並稱漏洞已修復，承諾願意為未來因安全漏洞引起的用戶損失承擔賠付責任。但在這份“申明”中，對泄密事件的一些細節卻含糊其辭，沒有直面的勇氣。

　　比如，攜程為什麼要“將用戶支付的記錄用文本保存了下來”？在一月份曾有媒體質疑攜程網的支付安全性，當時攜程明確回復説“攜程網的後臺不會記錄用戶的支付資訊”。是當初在撒謊，還是後來又“變壞”？網站不應保存CVV現在基本上是業內同行的規則。

　　再比如，即便保存了用戶資訊，為什麼要用明文存儲？2012年CSDN泄密事件，引起廣泛反思的，就是網站不應該用明文存儲用戶密碼資訊。教訓如此嚴重，攜程再犯這種錯誤，實在不該。

　　關於網站在用戶支付過程中該如何保護用戶資訊，國內外相關標準不止一個，國際上比較權威的是PCI-DSS(第三方支付行業數據安全標準)，加入此標準認證的企業都要接受嚴苛的年度安全評估，並且每個季度都在接受PCI認證要求的ASV弱點掃描。但國內主動進行這項認證的網站只是少數，去年底，還有媒體報道未能在攜程上找到PCI-DSS認證標識。

　　攜程是行業巨頭，又是上市公司，居然也在安全問題上犯這樣的低級錯誤，只能説沒有把用戶的利益放在第一位，同時也反映出當前中國網際網路界整體安全意識淡薄的現狀。存儲用戶支付資訊、明文保存用戶密碼……網站進行這些不規範操作的時候未必心存惡念，它們很多只是為了提供更簡潔的流程，以表面上更好的體驗留住用戶，以便在競爭中取得領先地位，但實質上，卻是以犧牲用戶網路安全為代價。

　　信海光(媒體人)