2015-05-29 13:59 | 凤凰新闻综合

第532期 [导语]作为上市公司，旅行服务业巨头，携程网终将在中国互联网安全史上占据一个重要的位置。这位置并不光荣，充满耻辱。 5月28日11时许，携程官网及移动APP陷入瘫痪状态，无法正常使用。今日凌晨4点18分，携程宣布官网及APP已于28日23:29正常运行。并声明此次事件是由于员工错误操作导致。 南都社论将“携程网瘫痪”定性为“迄今为止国内遭遇过的时间最长的互联网重大安全事故”。本周对于中国互联网公司来说祸不单行，就在前一日，支付宝也瘫痪了两个半小时，原因是杭州市萧山区某地光纤被挖断。对此，有行业人士说，什么大数据、云计算、工业4.0，都顶不住传统行业一铲子。 中国人与互联网拥抱得如此紧密，以至于今天互联网的风吹草动，都足以让人寝食难安。 ●互联网安全危机开始成为公共安全危机 作为中国老牌旅行服务公司，携程为超过1.4亿会员提供酒店预订、机票预订、旅游度假、商旅管理等服务，是诸多中国公司机构订酒店机票的常用平台，与建行、招商、广发等银行还发行有联名信用卡。 可想而知，一个1.4亿会员使用的平台，一旦发生系统瘫痪，将会影响多少公司和个人用户的正常业务，所造成的直接、间接损失难以估量。 不同于传统的新闻、通讯服务，今天支付宝、微信、携程等互联网服务供应商影响力巨大，它们给用户提供的服务已经像水和电一样难以离开。同时它们手中掌握着大量用户身份、信用、金融等重要数据，一旦出问题就不只是互联网安全事故，还很可能成为公共安全事故。马云就曾表示：如果自己把支付宝弄瘫痪，自己面临的不仅是公司倒闭，还有进监狱。 ●技术小疏忽会酿成波及全国大事故 2006年4月20日10时56分至17时30分，中国银联系统突发故障，北京、上海、杭州等大城市纷纷出现无法跨行取款、POS机无法消费等情况，粗略估计，银联系统故障造成约34万家商户及6万台ATM机受影响。 事隔6天之后，银联在发布了极其含糊的官方说法，称“主机发生故障”，但拒绝透露“主机致命”的真正原因。不过据信息时报报道，银联计划在4月25日上线一台新设备，20日上午工作繁忙时段，正当银联技术人员进行测试的时候，系统主机突然出现宕机，导致整个系统瘫痪，全国跨行交易无法正常进行。这一次宕机事件，反映出银联事前对产品测试中可能出现的问题估计不足，并没有估计到系统瘫痪的面积会如此之大、情况如此严重，事先所准备的应急预案只不过是针对小范围的故障的。 受影响企业之一的杭州银泰百货公司信息部负责人说：“如果考虑更周全一点，也许问题就不会发生。”关键系统的切换几乎都会选择在交易量最小的时间，如夜间进行，此时万一出现事故，也可将风险降至最低。 ●一个人的犯罪足以侵害上亿人 关于此次携程宕机的原因，有一种猜测流传甚广——内部员工蓄意报复。 “内鬼”的危害有多大？2014年，在人口 5000 万的韩国，至少有 2000 万人的信用卡信息被盗，这是韩国历史上最严重的信息泄露事件。 这么大规模的泄露不是因为哪个黑客组织技术高超，而是源自个人信用评估公司的内部员工监守自盗。2012年5月到2013年12月间，韩国信用评价公司（KCB）39岁的技术人员朴某，窃取了3家公司发行的1.04亿张信用卡的用户信息。这个内鬼从三大韩国银行的内部服务器里调取了这些用户敏感信息，并转卖给电话营销公司。 包括韩国总统朴槿惠、前总统李明博、金融监督院院长、金融委员会委员长等都是此案的受害者。 ●互联网创新和盈利的前提是安全 在互联网扩张风潮下，今天互联网公司都热衷大谈商业模式创新，技术让位于业务成为互联网界的普遍现象。重视业务当然没错，但如果因此而忽略了技术甚至难以抵御安全风险的现实，将会导致严重后果。 2013年年底美国折扣零售巨头塔吉特（Target）的客户数据泄漏事件是一个血淋淋的例子： 1.1亿顾客的数据失窃事件爆发之后，12%的老顾客不再去塔吉特消费，而36%的零售商减少了购货频率。而那些继续在塔吉特购物的人中有79%不再使用信用卡消费了，取而代之的是使用现金。据估计塔吉特的损失当时已达1.48亿美元，并最终可能达到10亿美元。塔吉特辞退了时任CEO并重新任命一位首席信息安全官。 不注意保护用户信息的企业在国外会受到政府的惩罚。2013年7月，索尼公司因PSN服务大规模数据泄露事件被英国数据保护监管部门罚款40万美元。当时PSN服务泄露的用户数据包括用户姓名、地址、电子邮件地址、生日和账号密码等，用户的信用卡信息也面临泄露风险。对于此次罚款，英国信息专员办公室副专员、数据保护主管大卫?史密斯表示，索尼本应尽对客户信息提供有效保护的注意义务：“如果你掌握了如此多的支付卡和登录信息，那么确保用户数据的安全将是优先工作。然而在本案中情况并非如此。当数据库被攻击时，安全保护措施完全不够。” 在中国，根据相关规定，用户个人信息发生或者可能发生泄漏、损毁、丢失的，企业应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或备案的电信管理机构备案。电信管理机构依据职权要求企业限期整改，并可处于1万元以上、3万元以下罚款。 但大部分公司，在陷入网络安全问题并影响到用户时，通常的做法仅仅是对用户“深表歉意”，几乎不会对赔偿用户损失做出说明及承诺，更没有人会为那些或昂贵或廉价的时间成本负责。 ●为什么有中国互联网公司两次踏入同一条河流？ 携程因技术安全问题成为新闻主角不是第一次。 曾有分析人士指出：“现在的网络安全事故，看起来是漏洞引起的，实际上核心还是用户信息保护做得不够。有的网络企业明文上传用户交易数据，甚至为了交易方便保存一些不该保存的信用卡信息。” 携程在2014年3月曾爆出过客户银行卡信息“泄露门”，引发了一场关于支付安全的全民恐慌。当时乌云漏洞平台发布消息称，携程网安全支付日志存在漏洞，可导致大规模用户信息如姓名、身份证号、银行卡类别、银行卡卡号、银行卡cvv码（信用卡背面的三位数安全码）等信息泄露。而一旦这些信息被黑客窃取，在网络上盗刷银行卡将变得易如反掌。 这一漏洞被揭在业界引起轩然大波，更被指为“低级技术错误”。携程官方公告中用寥寥数语介绍：“经查，技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。”当时有技术人士分析：“像写日志这样的工作，在公司里一般是刚毕业的小朋友或者实习生干的，如果没有严格的审核机制、代码的规范，出这样的错误就不出意料。” 携程当时被诟病的不仅是漏洞被捕获，更重要的是泄露的用户信息中包括了银行卡CVV码这类被明令禁止不得储存的数据信息。“交易网站存CVV相当于小时工偷偷配了你家的钥匙，同时，他还知道关于你家所有的信息。携程明文存储了用户信用卡的CVV，还泄漏了，前一个是企业的基本道德问题，后一个是安全问题。”

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。