日前,携程旅行网被曝存在网络安全漏洞,其安全支付日志可遍历下载,大量用户银行卡信息泄露。尽管官方表态称出现漏洞是因为技术人员排查系统疑问时未及时删除临时日志的疏忽所致,但此事已经造成部分信用卡用户恐慌,微博微信中关于冻结信用卡更换信用卡的消息也流传开来。在大多数人看来,这也许仅仅是一次信息安全问题,但事实上暴露出携程网更多的谎言、不遵循行业数据安全标准、违背银联规定等多方面问题。被泄露的用户信息包含姓名、身份证、卡号、卡CVV码、卡6位Bin码,凭借卡CVV码,信用卡可以无需密码成功支付,重要性可想而知,然而早在年初,携程网表示:“目前携程网的后台不会记录用户的支付信息,同时后台的安全性也得到银联和银行的评估”,现在看来这无疑是谎言。此外,携程网公然违反PCI认证中在支付授权完成后删除敏感的认证数据的规定以及《银联卡收单机构账户信息安全管理标准》、《银行卡收单业务管理办法》。网上支付还安全吗?如何追责携程网?
一共有人参与 条评论
我去,我们使用着美国提供的产品有漏洞,威胁了美国的国家安全,这逻辑?理解能力有问题呀, 是我们使用着美国提供的产品如果没有漏洞,威胁了美国的国家安全。漏洞被修复后,美国没法监控,从而威胁美国安全?
(0)由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户的支付记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意黑客读取。 所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户的信息曝光,包括:持卡人姓名、身份证、银行卡号、银行卡CVV码、6位卡Bin等非常敏感的内容。 携程官方的解释为:技术开发人员为了排查系统疑问,留下了临时日志,因疏忽未及时删除。不过MediaV公司CTO胡宁还是通过微博批评称:“数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞”。
(0)在暗网世界,5900美金可以获得包括美国全套的证件;伪造的英国护照价值2000英镑,卖家还会承诺把你的个人信息添加到官方数据库之中,保证你的护照可以走遍世界;一把沙漠之鹰手枪价值1450欧元,当然你可能还需要花45欧元买50发子弹;一个新鲜出炉的用户信用卡信息(账户、密码、CVV码)要14美元,可以随意消费,“如果你‘缺钱’,可以花很低的价格买到伪钞”。早些时候,著名网络军火商HackingTeam被黑客侵入,证明其大量漏洞收购和网络军火交易都通过暗网进行。HackingTeam客户中,包括政府机关。根据业内人士透露,“网络漏洞”作为一个重要的资源,是一些组织和个人都在积极储备的。 在暗网上,几乎每个大型交易网站都会为漏洞交易开辟“专区”。如果你把一个Win10的致命漏洞提交给微软,可能拿到几万美金,如果你拿到漏洞黑市上交易,你可以得到几倍、几十倍、几百倍的利润。连ISIS网站的建设和维护,也是在暗网上找到程序员。暗黑世界你是拿不到准确数据的,但军火和毒品的交易这两项,就足以支撑起一个灰色帝国。
(0)目前许多银行网上支付经过获国际认证的加密技术进行加密,安全性较高,因此,网上交易很安全,但也不排除因个人操作不慎将资料泄露和通讯故障带来的风险,不过这些情况非常少见。专家们提示,如果在交易时,浏览器的右下角出现小锁的标记,就能证明交易者的私人信息在传送过程中是安全的,不会被第三方窃取。但若是在线上直接扣款,那就要多加注意了。如果使用信用卡付款,每次购物后都要及时修改密码,千万记得不要随便把卡号的末四位随便给人,在付款方式上最好选择货到付款,此外,入会即购物时从会员存款里扣除货款也是一个不错的选择。
(0)当前,网络空间在某种程度上已成为继陆、海、空、天之后的第五大主权空间,国际上围绕网络安全的斗争日趋激烈。维护网络空间安全成为维护国家安全新的战略制高点。维护网络空间安全,必须加快培养壮大高素质人才队伍。为此,必须深化教育改革,着力培养熟练掌握信息系统安全知识、网络基础设施安全知识、信息对抗知识,具有较强实践能力和创新能力的专业网络安全人才队伍。
(0)我国全民移动互联时代已经来临。近日在京举办的2014移动互联发展大会正式发布了《中国移动互联网发展报告(2014)》蓝皮书,报告显示,截至2014年1月,我国移动互联网用户总数已达8.38亿户,在移动电话用户中的渗透率为67.8%;手机网民规模达5亿,占总网民数的八成多,手机坐上了上网终端第一把交椅。 移动互联时代的一切看起来似乎都很美好,但实际上也存在不少问题,用户信息泄露、二维码扫描陷阱、移动快捷支付诈骗、移动应用恶性竞争等不良现象时有发生,移动安全问题更是备受关注。眼下,保障移动互联网的安全已经成了当务之急,因而亟待探索多方合力机制。 一、我国进入全民移动互联时代 目前,我国用户总数已突破8亿大关,移动互联网发展进入全民时代。据悉,2014移动互联发展大会日前在京举行,会上发布的《中国移动互联网发展报告(2014)》蓝皮书,全面介绍了中国移动互联网发展状况和特征亮点。 可以说,移动互联网给我们的生活带来了巨大的变化。它囊括衣食住行的各个层面,渗透进了传统行业;它也革新了社交方式,在突破时空限制上为社交带来了质的飞跃。不难预测,未来,移动网络将像空气、水、食物一样成为生活之必需。 在全民移动互联的大背景下,当前移动互联网呈现出这样的特点和趋势: 一是加速普及。一方面,智能手机正在成为最重要的上网终端。目前,移动端和PC端占比是6∶4的关系,相较于台式电脑与笔记本电脑出货量的持续减少,智能手机和平板电脑正进入黄金发展期。报告显示,2013年出货量达到4.18亿部,同比增长62%,相当于每三个中国人中就有一个购买了新智能机。有意思的是,手机出货量的增长率却首次出现下降,这也从侧面反映出我国手机终端的市场占有量已趋于饱和。另外一方面,移动上网时间正在变长,2013年移动端人均单日使用时长为1.65小时,较2012年增加了0.69小时。再者,移动互联网接入流量实现了新突破,由2009年的11785.3M上涨为2013年的132138.1M,增长了近10倍,显然,流量已经进入了G时代。可见,移动互联网正在渗透进每个人生活的方方面面。 二是市场繁荣。2013年我国移动市场规模达62.5亿元,增长率略微有所上扬。随着移动互联网市场规模的不断扩大,阿里巴巴、京东、当当网等电商都在加速移动端的“跑马圈地”,频繁并购和推进O2O业务。与此同时,基于移动互联网的新型移动支付发展迅猛。2013年移动支付市场交易规模突破1.3万亿元,同比增长8倍多,远超个人电脑支付增长率。随着线上线下渠道打通,未来,移动支付产业将迎来新一轮发展。除此之外,在移动互联网行业规模占比中,移动增值、移动营销占比逐年下降,而移动购物、移动游戏占比则逐年提升,2013年移动购物更以38%的占比首次超过移动增值成为规模占比最大的移动互联网行业,这也折射出移动终端在网购、游戏等日常消遣方面正发挥不可替代的作用。 三是转型跨界。发展了20年的互联网,已从消费型过渡到了消费型和产业型并存的时代,未来,通过互联网、移动互联网向产业互联网转型,传统产业、制造业、工业的跨界融合将会加速,这对经济发展贡献会更大。同时,移动互联网将使网络、智能终端、数字技术等新技术得到整合,新的产业生态链以及由此产生的全新文化[-0.19% 资金 研报]产业形态值得关注。 二、网络安全问题凸显 虽然中国在移动互联网时代的产业地位有了显著提升,但未来发展仍面临严峻挑战:其一,国内应用生态不完善、缺乏自主可控的操作系统,只能依附两大生态系统发展,而且第三方应用商店安全问题频发,缺乏用户信任的应用分发渠道,应用生态整合能力还无法与谷歌、苹果相比。其二,国产智能终端量收不对等,终端制造整体处于低端,对新产品和新技术应用的研发尚有不足,品牌化建设仍有缺失,与三星等国外厂商仍有较大差距。其三,在与操作系统和移动芯片相关的核心技术方面仍待继续突破,自主产业技术尚待建立。 更应引起注意的是,移动安全不容忽视,特别是斯诺登事件之后,网络安全更被提到了前所未有的高度。用户个人信息的保护,包括上网的安全,网络安全、信息安全等,将来都要向产业转移并且融合,而在向传统产业跨界转型的过程中,安全更显重要。同时,移动应用的安全状况直接关系到我国移动互联网的安全水平。移动应用中存在着大量的恶意应用,倘若用户在不知情的情况下下载安装这些恶意应用,就可能遭遇隐私被窃、资费消耗、后台安装等恶意行为。此外,随着移动互联网的发展,相关地下黑色产业链也开始浮出水面,毋庸置疑,这也埋下了极大的安全隐患。 三、探索合力机制为网络安全保驾护航 面对挑战,尤其是应对日益凸显的移动互联网安全问题,还需多方通力协作。移动运营商、手机厂商、信息安全厂商以及互联网应用厂商应联合起来,抓住越发凸显的移动互联网安全商机,开展广泛合作,形成完善的手机安全产业链。尤其对安全杀毒厂商来说,未来手机安全市场的竞争形势更加激烈,综合实力最强的手机安全厂商有望胜出。因而,安全厂商应当不断升级业务能力,积极备战手机安全的市场竞争,强化移动安全产品的恶意软件查杀、恶意网址拦截、隐私数据保护、防窃听、防盗和垃圾短信骚扰电话的拦截等功能,为用户定制一套有效的“立体防护”解决方案,营造绿色的移动互联网环境。与此同时,移动互联市场的应用商店则应加强把关,从源头堵住恶意软件和病毒,通过建立完善的应用安全审核机制对所有软件进行安全评测和漏洞扫描,并加强对应用提交者的管理,积极建立举报恶意应用机制。 诚然,安全厂商只能从技术上解决问题,而涉及到取证、定罪等问题,则需要国家有关部门的介入。因而,监管部门要有所作为,对恶意软件开发者和企业应加大处罚力度;相关部门也应该加强立法,打击侵害网民利益的行为,为移动互联网的良性发展保驾护航。 除此之外,使用移动智能终端的用户也应加强安全意识,优先下载使用官方发布或认证的、具有安全标签的应用;安装使用安全防护软件并及时更新,以确保最佳防护能力;而在手机上安装防火墙或杀毒软件也必不可少。(转载:曲若柳《移动互联网安全隐患丛生》)
(0)网络空间战备加剧、国家间网络冲突不断升级、有组织的黑客攻击规模不断升级将导致网络空间国际形势进一步恶化;美部分盟国“另起炉灶”、国际社会积极制定网络空间规则使得网络空间话语权争夺将更加激烈。此外,移动互联网领域成为安全焦点,云计算、物联网等技术安全事件增多,新技术新应用带来的信息安全问题将逐步凸显。而以XP系统停止服务、新的网络攻击手段将带来严重的安全风险这些网络安全事件造成的影响将进一步加大。 现阶段伪基站治理尚存诸多难题、LTE核心技术标准以及LTE网速都有待加强、虚拟运营商发展面临诸多挑战是现阶段我国无线电管理存在的主要问题。
(0)   1  
共9条信息 |
手机扫描二维码访问
