平台信息不容小觑 安装证书保安全

作者： 时间：2014-11-26

    漏洞报告平台乌云网曾披露了携程网安全漏洞信息，漏洞发现者称由于携程开启了用户支付服务借口的调试功能，支付过程中的调试信息可被任意骇客读取。携程网回应称，这次安全漏洞泄露主要原因是携程的技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。经各方证实，尚未发生大规模用户财务损失。

    目前，除了漏洞发现人做了少量的测试下载并已全部删除外，并没有出现恶意下载的情况。携程与各大银行已经取得联系，经核实，目前没有出现用户信用卡被盗刷的情况。携程也做出承诺，倘若引起用户损失，携程将全额赔付。不过，在微博、朋友圈等社交网络平台上，已经有用户表示，其正在向银行申请更换信用卡。

    与此前7天等快捷酒店爆出信息泄露不同的是，因为关心钱袋子，所以这才引起了一些用户的紧张。具体来说，此次事件涉及到了用户信用卡的CVC码，即银行信用卡背后的三位验证码，这三位数字会被视为密码或签名。在一些消费场景下，如利用相关信息注册第三方支付帐号后，拥有这个验证码就可以等同用户使用信用卡后签字的过程，交易会被银行认可。

    但是，银行会对用户的消费行为进行风险控制。一位银联互联网业务技术负责人告诉腾讯科技，风险控制的方式主要包括安全控件码（网上提示的动态验证码）、动态密码、验证与预留手机号码是否一致，以及其他具体场景的判断，如连续刷卡出现异常交易、设定的交易限额等。

    因此，假如此次有骇客盗取了用户信息，他也只能通过手机充值、购买游戏点卡等方式小规模地进行消费，但如果他连续通过信用卡进行这样的消费，会被银行记录和识别。但是这样盗取用户财产的成本会非常的高，所以并不实际。当然，盗取后也可以注册一些海外电商网站进行消费。不过，这要求信用卡是双币信用卡，才能完成支付，也有很多的门槛。

    如何保障关键环节信息不被泄露？

    服务器证书审核中心提醒广大企业平台，及时安装ssl证书可以有效阻止黑客窃取用户支付账户以及密码信息，提升网站整体的信息安全级别。网民自身也要提升警惕心理，登录或者支付页面（需要输入密码或者银行卡账号信息），及时查看网站服务器证书，确保自己的信息处于被保护状态，以防后顾之忧。