谈谈携程支付日志泄漏与用户隐私

微博上的漏洞

我比较喜欢经常去微博逛逛，因为经常能在微博上看到很多最新的消息和好的学习资料，刚在前一篇文章写完发布出去，习惯性的逛着微博，就看到了关于携程支付日志漏洞的微博。

点进wooyun链接

http://www.wooyun.org/bugs/wooyun-2014-054302#0-tsina-1-14334-397232819ff9a47a7b7e80a40613cfe1），可以看到漏洞的简介。大概的意思是说携程支付接口开启了调试，所有向银行验证信用卡信息的数据包保存在了服务器。另外又因为支付日志存储的服务器存在目录遍历漏洞，于是日志就可以被遍历。根据漏洞提交者的说明，而日志里可以获取到（以下复制自漏洞简介）：

持卡人姓名
持卡人身份证
所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）
所持银行卡卡号 所持银行卡CVV码 所持银行卡6位Bin(用于支付的6位数字)

在漏洞信息的下方有这样一个被置顶评论，发了一个文章的链接携程网被疑储存用户信用卡信息 存在泄露风险

在文章发布的时候，携程官网已做回复：

为什么要保存用户信用卡信息？这是一个值得关注的问题，而且早在1月份的时候就已经有暴露的端倪，却没有去处理。官方的回复明显不能让大家满意。让我们静待事情的发展。

泄漏信息解读

那么携程这次泄漏的信用卡信息又有什么用呢？

我们先来看看泄漏的这些信用卡的信息：

持卡人姓名
持卡人身份证
所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）
所持银行卡卡号 所持银行卡CVV码 所持银行卡6位Bin(用于支付的6位数字)

前四者就不用多说了，相信大家一看就知道。

信用卡BIN，指的是发卡行识别码，英文全称是 Bank Identification Number，缩写为 BIN，比如工行的就是62122。

那么什么是CVV码?来看下百度百科的解释：http://baike.baidu.com/view/2324253.htm

CVV全称是Card Verification Value，翻译过来就是卡验证值。看到验证这两个字，我想大家就应该理解它的重要性了。

简单点说，就是如果知道你的卡号、和CVV码，就大部分情况下就可以直接付款了。

看几篇文章:

• 芜湖市民几分钟被盗刷2万 信用卡cvv码不要轻易泄露__万家热线
• 信用卡CVV码泄露易遭盗刷
• 信用卡的第二密码——cvv码 你知道吗？
• 信用卡密码成浮云 CVV码是最后保障

发了这么多文章，就是想告诉大家CVV码的重要性。

所以大家可以想象，这次泄漏出来的信息意味着什么！意味着如果你在携程用信用卡消费过，如果已经有黑客把日志爬走了，那么他可以用日志里的那些信息直接让你替他付款。

除了信用卡可能被刷，大家可以想想信用卡的其他作用，拿着你的姓名、身份证、信用卡信息可以做的坏事多了去了。

当然，大家也没必要恐慌，可以继续关注事态发展，以上的情况都是在你的信用卡信息已经被爬取的前提下，只是想跟大家说明泄漏的信息的重要性，大家静待官方的回复。

历史隐私事件

何谓隐私？百度百科是这样解释的:“隐私是一种与公共利益、群体利益无关，当事人不愿他人知道或他人不便知道的个人信息，当事人不愿他人干涉或他人不便干涉的个人私事，以及当事人不愿他人侵入或他人不便侵入的个人领域。”

今年以来，去年到今年来发生了挺多的隐私事件：

1. 360上传用户隐私
2. 棱镜事件
3. 搜狗输入法隐私事件
4. 央视曝光高鸿股份软件侵犯隐私
5. 微信视频“泄漏”
6. 支付宝信息泄露 …

先不论这些事件是否真实，但越来越多的关于用户隐私的事情被大众所关注

这次携程的事件如果确认，那么也是一次隐私事件，而这个隐私还涉及到了信用卡，事关金钱，我想大家还更为关注。

像这次的事件，似乎目前也没有其他办法，大家可以选择先冻结信用卡，使用新卡。

另外，大家也可以关注这个问题，看看有没有更好的处理办法 携程信用卡信息被泄露，除了更换信用卡还有什么别的好方法处理么？http://www.zhihu.com/question/23131107

如何保障信用卡信息等隐私安全

当事件发生的时候，如何去保护自己的隐私呢？ 在互联网厂商方面，不应该保存用户的如信用卡的这些隐私资料，当在必要的情况下，应该对用户的隐私安全负责。这次，携程作为落水鸭该被众人嫌弃了，而其他的互联网厂商估计也在各种检查。

而作为用户或者作为普通网民，我们又何如去保护自己的隐私？信用卡安全？

隐私方面的一些安全处理我就不多说，大家可以看cos的文章：用户隐私早沦陷了（二）

今天主要跟大家讲讲如何保证信用卡的使用安全

1、任何信用卡，信用卡背面三位码一定要保护后，有必要的话可以用贴纸盖住或者直接刮掉（当然前提是自己记住）。
2、不要向任何人、在任何场所透露信用卡的信息，包括姓名、卡号、有效期等。
3、拿到新卡的时候在背面签名，使用签名消费而不是密码支付消费。一般而言，在信用卡没有密码的前提下，主要由商家比对签名来查核持卡人身份，在签名存在明显差异的情况下，商家无疑要对盗刷得逞承担主要责任。
4、在出现卡丢失或者可能导致盗刷的情况下，如这次事件，应该第一时间挂失或者冻结信用卡。
5、如果可以，可以开通信用卡的消费提示，这样在被盗刷的情况可以第一时间得知，也可以第一时间联系银行处理。
6、不要在网吧等公共电脑使用网银进行网上交易。
7、在刷卡的时候如果是密码支付，注意遮挡，注意查看金额，另外不要随便丢弃刷卡的小票。

有许多平时在生活中使用信用卡的注意事项，大家都需要注意，主要还是需要养成一定的安全意识。

如何消除自己在网上的痕迹

看到隐私的各种问题，应该就有同学想着要把自己在网上的隐私、资料、痕迹之类的删除掉了。恭喜这位同学，已经有人想到了你同样的问题，并且已经在知乎上提问过了。

大家先去看看蘑菇发的文章：http://mp.weixin.qq.com/s?__biz=MzA3NDMwODAyNg==&mid=200240216&idx=1&sn=da7d6e275d9cb849231934153cf093c3#rd（如何完全抹除自己在网上的痕迹）

然后说说自己的想法，说实在的，完全抹除痕迹，基本是不可能，除非你是个刚接触电脑的，就注册了那么一两个帐号啥的，才有那可能性

为什么会有社工？为什么会有搜索引擎？…想想你就明白了

然后想着抹除痕迹，倒不如想着用垃圾信息去覆盖痕迹（这里的覆盖可不是update），把那些你觉得有影响的信息覆盖沉寂。把互联网想成一个大缸，你的那些信息及痕迹是一层沙，那么就继续往里倒其他的沙，那么想找到底部的沙就得费些功夫了。

结语

当用户隐私已经越来越受普通网民跟大众关注的时候，我想厂商应该更多的去想想如何保护用户的隐私而不是如何赚钱了。这次的携程事件，给广大互联网厂商敲响一个警钟。同时大家在平时生活、上网之中也应该加强对自己隐私的保护，特别是牵扯到个人金钱利益的，我想不用我多说大家也知道重要性。

截止到23号，官方做了一个声明