携程泄密事件探因：核心IT人员仅六、七名（三）【世界艺术吧】

世界艺术吧关注：23贴子：1,048

千里之堤，毁于蚁穴。就是这个搭建了庞大系统的部门，不久前却因技术人员操作不谨慎，被黑客抓住把柄。

送TA礼物

1楼2014-03-31 18:32回复

3月22日下午，乌云漏洞平台发布消息称，携程系统存在技术漏洞，可导致用户个人信息、银行卡信息等泄露。

2楼2014-03-31 18:32

当晚11点，携程技术人员对漏洞进行确认。23日早上7点，携程官方消息称漏洞已经修补。
　　

3楼2014-03-31 18:33

据乌云网的说法，携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
　　

4楼2014-03-31 18:33

而携程公关部针对事件原因接受理财周报记者采访时表示：“漏洞是携程技术人员在对某个服务器进行系统问题排查时，留下临时日志未及时删除所致。”

5楼2014-03-31 18:33

关于技术排查，相关网站技术人员对理财周报记者进行了详细描述：“所有网站在这一点上都是类似的，网站技术人员会定期对每个服务器进行扫描

6楼2014-03-31 18:33

主要为了发现潜在的漏洞，并进行修补。这种扫描，有些网站由自己完成，也有会通过第三方机构扫描，由他们出具漏洞清单和修补意见。”

7楼2014-03-31 18:34

这种扫描漏洞的部门又称为信息安全部或者是风险控制部门，在携程内部有独立的信息安全部门专门负责漏洞扫描和排查工作，但此次的漏洞却为第三方平台乌云网所发布。
　　

8楼2014-03-31 18:34

携程公关部对此向记者表示：“这部分信息也是处于加密状态，即使拿到信息也要通过破解才能读取。”这对黑客而言并非难事。
　　

9楼2014-03-31 18:34

与此同时，理财周报记者致电另一家OTA企业，在其网站支付时与携程一样无卡无密即可成功。

10楼2014-03-31 18:34

其CEO表示：“我们不是明文保存的，我们是加密保存的，携程这个案例我们也看了，但具体情况不是很清楚。”

11楼2014-03-31 18:34

对于当时未付款的客户信息，也没有规定保存客户敏感信息7天，具体也是由研发和审计法务的风控部门负责。

12楼2014-03-31 18:35

下载贴吧APP
看高清直播、视频！

贴吧热议榜

发表回复

内容:

使用签名档查看全部

发表

保存至快速回贴