话前聊一聊

首先感谢大家的关注,发现前一篇文章发完后,互动多了,挺喜欢这种方式的。我是喜欢大家多跟我沟通,提问或者留言的,我很愿意回答大家的问题,也很愿意跟大家沟通,希望大家不吝赐教。

以后也会更多的讲一些接地气的东西,比如以下这篇

 

微博上的漏洞

我比较喜欢经常去微博逛逛,因为经常能在微博上看到很多最新的消息和好的学习资料,刚在前一篇文章写完发布出去,习惯性的逛着微博,就看到了关于携程支付日志漏洞的微博。

点进wooyun链接(http://www.wooyun.org/bugs/wooyun-2014-054302#0-tsina-1-14334-397232819ff9a47a7b7e80a40613cfe1),可以看到漏洞的简介。大概的意思是说携程支付接口开启了调试,所有向银行验证信用卡信息的数据包保存在了服务器。另外又因为支付日志存储的服务器存在目录遍历漏洞,于是日志就可以被遍历。根据漏洞提交者的说明,而日志里可以获取到(以下复制自漏洞简介):

持卡人姓名
持卡人身份证
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
所持银行卡卡号
所持银行卡CVV码
所持银行卡6位Bin(用于支付的6位数字)

在漏洞信息的下方有这样一个被置顶评论,发了一个文章的链接携程网被疑储存用户信用卡信息 存在泄露风险http://finance.china.com.cn/industry/company/20140110/2111174.shtml

在文章发布的时候,携程官网已做回复:

为什么要保存用户信用卡信息?这是一个值得关注的问题,而且早在1月份的时候就已经有暴露的端倪,却没有去处理。官方的回复明显不能让大家满意。让我们静待事情的发展。

 

泄漏信息解读

那么携程这次泄漏的信用卡信息又有什么用呢?

我们先来看看泄漏的这些信用卡的信息:

持卡人姓名
持卡人身份证
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
所持银行卡卡号
所持银行卡CVV码
所持银行卡6位Bin(用于支付的6位数字)

前四者就不用多说了,相信大家一看就知道。

信用卡BIN,指的是发卡行识别码,英文全称是 Bank Identification Number,缩写为 BIN,比如工行的就是62122。

那么什么是CVV码?来看下百度百科的解释:http://baike.baidu.com/view/2324253.htm

CVV全称是Card Verification Value,翻译过来就是卡验证值。看到验证这两个字,我想大家就应该理解它的重要性了。

简单点说,就是如果知道你的卡号、和CVV码,就大部分情况下就可以直接付款了。

看几篇文章:

芜湖市民几分钟被盗刷2万 信用卡cvv码不要轻易泄露__万家热线

信用卡CVV码泄露易遭盗刷

信用卡的第二密码——cvv码 你知道吗?

信用卡密码成浮云 CVV码是最后保障

发了这么多文章,就是想告诉大家CVV码的重要性。

所以大家可以想象,这次泄漏出来的信息意味着什么!意味着如果你在携程用信用卡消费过,如果已经有黑客把日志爬走了,那么他可以用日志里的那些信息直接让你替他付款。

除了信用卡可能被刷,大家可以想想信用卡的其他作用,拿着你的姓名、身份证、信用卡信息可以做的坏事多了去了。

当然,大家也没必要恐慌,可以继续关注事态发展,以上的情况都是在你的信用卡信息已经被爬取的前提下,只是想跟大家说明泄漏的信息的重要性,大家静待官方的回复。

 

历史隐私事件

何谓隐私?百度百科是这样解释的:"隐私是一种与公共利益、群体利益无关,当事人不愿他人知道或他人不便知道的个人信息,当事人不愿他人干涉或他人不便干涉的个人私事,以及当事人不愿他人侵入或他人不便侵入的个人领域。"

今年以来,去年到今年来发生了挺多的隐私事件:

1、360上传用户隐私

2、棱镜事件

3、搜狗输入法隐私事件

4、央视曝光高鸿股份软件侵犯隐私

5、微信视频“泄漏”

6、支付宝信息泄露

....

先不论这些事件是否真实,但越来越多的关于用户隐私的事情被大众所关注

这次携程的事件如果确认,那么也是一次隐私事件,而这个隐私还涉及到了信用卡,事关金钱,我想大家还更为关注。

像这次的事件,似乎目前也没有其他办法,大家可以选择先冻结信用卡,使用新卡。

另外,大家也可以关注这个问题,看看有没有更好的处理办法

携程信用卡信息被泄露,除了更换信用卡还有什么别的好方法处理么?http://www.zhihu.com/question/23131107

 

如何保障信用卡信息等隐私安全

当事件发生的时候,如何去保护自己的隐私呢?

在互联网厂商方面,不应该保存用户的如信用卡的这些隐私资料,当在必要的情况下,应该对用户的隐私安全负责。这次,携程作为落水鸭该被众人嫌弃了,而其他的互联网厂商估计也在各种检查。

而作为用户或者作为普通网民,我们又何如去保护自己的隐私?信用卡安全?

隐私方面的一些安全处理我就不多说,大家可以看cos的文章:用户隐私早沦陷了(二)

今天主要跟大家讲讲如何保证信用卡的使用安全

1、任何信用卡,信用卡背面三位码一定要保护后,有必要的话可以用贴纸盖住或者直接刮掉(当然前提是自己记住)。

2、不要向任何人、在任何场所透露信用卡的信息,包括姓名、卡号、有效期等。

3、拿到新卡的时候在背面签名,使用签名消费而不是密码支付消费。一般而言,在信用卡没有密码的前提下,主要由商家比对签名来查核持卡人身份,在签名存在明显差异的情况下,商家无疑要对盗刷得逞承担主要责任。

4、在出现卡丢失或者可能导致盗刷的情况下,如这次事件,应该第一时间挂失或者冻结信用卡。

5、如果可以,可以开通信用卡的消费提示,这样在被盗刷的情况可以第一时间得知,也可以第一时间联系银行处理。

6、不要在网吧等公共电脑使用网银进行网上交易。

7、在刷卡的时候如果是密码支付,注意遮挡,注意查看金额,另外不要随便丢弃刷卡的小票。

有许多平时在生活中使用信用卡的注意事项,大家都需要注意,主要还是需要养成一定的安全意识。

 

如何消除自己在网上的痕迹

看到隐私的各种问题,应该就有同学想着要把自己在网上的隐私、资料、痕迹之类的删除掉了。恭喜这位同学,已经有人想到了你同样的问题,并且已经在知乎上提问过了。

大家先去看看蘑菇发的文章:http://mp.weixin.qq.com/s?__biz=MzA3NDMwODAyNg==&mid=200240216&idx=1&sn=da7d6e275d9cb849231934153cf093c3#rd(如何完全抹除自己在网上的痕迹)

然后说说自己的想法,说实在的,完全抹除痕迹,基本是不可能,除非你是个刚接触电脑的,就注册了那么一两个帐号啥的,才有那可能性

为什么会有社工?为什么会有搜索引擎?...想想你就明白了
然后想着抹除痕迹,倒不如想着用垃圾信息去覆盖痕迹(这里的覆盖可不是update),把那些你觉得有影响的信息覆盖沉寂。把互联网想成一个大缸,你的那些信息及痕迹是一层沙,那么就继续往里倒其他的沙,那么想找到底部的沙就得费些功夫了。

结语

当用户隐私已经越来越受普通网民跟大众关注的时候,我想厂商应该更多的去想想如何保护用户的隐私而不是如何赚钱了。这次的携程事件,给广大互联网厂商敲响一个警钟。同时大家在平时生活、上网之中也应该加强对自己隐私的保护,特别是牵扯到个人金钱利益的,我想不用我多说大家也知道重要性。

---------------------------------后续-------------

截止到23号,官方做了一个声明