首页 > 八卦互联 > 携程信用卡门,为啥不用换卡不用销卡(专业吐槽+释疑版)

携程信用卡门,为啥不用换卡不用销卡(专业吐槽+释疑版)

2014年3月23日 baoz 阅读评论

如果你赶时间,又想了解一点点东西,就看橙色字的部分。总而言之,我的建议是:遇到盗刷追回,然后才换卡。

首先携程出这个事确实是不应该,我就不补枪了,携程已经被喷的够狠了;另外本人是携程用户但并没有持有一毛钱携程股票,未来也不打算持有携程股票。

一、作为甲方安全行业同仁,完全可以想象携程的安全团队这几天鸭梨山大,我除了为陈健祝福之外,也说说我的观点。

1、这次问题的根源就是研发人员的KPI不包含安全,架构师工作有待改进。

2、携程的安全团队有没责任呢?有,肯定有。就这个事情本身,用SDL的方法论来看,需要在培训、编码规范和应急响应方面发力。但是,Talk is cheap。作为一个同行,我深知这些事情是需要巨大的资源支持的,这也是很多甲方为什么SDL只能做(或一开始做)pentest那部分的原因,来,我来给大家数数资源:

A、培训。新入职的你要培训,入职了的你还得反复培训。但是,talk 还是 cheap的很,我们用什么来保障培训的执行力呢?研发人员培训听懂了吗?入职培训后要考相关的内容吗?考过了才能转正吗?这都需要资源的支持,越大的公司,需要的人的资源越多,况且,这事在SDL里投资回报不算最高的。因为,talk is cheap,培训依然是talk。

说到入职转正安全要求,我举个栗子。某游戏公司由于使用了第三方邮件服务,对该服务控制力较弱,但他们又希望全公司人都开邮箱的双因素认证。该公司创始人要求新入职员工培训中包含该内容,并且邮箱都开双因素认证,否则不予转正,但这种事情基本是要在扁平的人力结构下由一把手拍下来才相对靠谱(后续员工有没自己关掉双因素就不得而知了。。。)。

B、编码规范。如果规范无法自动化检测并整合发布流程,如果研发不背安全的KPI,那还是talk。为神马?因为研发不背安全的KPI,大部分的KPI是项目进度相关的,质量相关的也较少,顶多就事故了。那么大部分研发人员自然更多的追求效率而舍弃质量,谁和KPI有仇啊?去追求和KPI无关的东西;但有极少部分有经验的研发人员,会在无意识中考虑安全问题,这种研发很高端,可遇不可求。

研发有安全的KPI就可以避免携程这次的问题了吗?nonono,这只是基本条件。我们的编码规范还得可以自动化检测出来,否则一周上线个几十次代码的,安全团队哪有这么多人力一起玩呢?即使能自动化,安全团队依然需要固定的人力投入来跟进处理。

例如禁止用system函数这个编码规范很好检测吧,grep一下就有了;但打日志这个就不好检测了,他依赖于啥?架构师!听起来很高大上的一个岗位,叫架构师的人很多,但做的好的架构师我遇到的很少。架构师的职责之一就是提供公司的日志输出组件并在全公司执行,规范化日志行为及内容,输出啥,啥格式,输出到哪,啥时候删除,谁能看,怎么看。架构师们,扪心自问,您做到了吗?这考验的是架构师的执行力而不是意淫能力。

C、应急响应。这不用说,就是大量的钱和少量的人。原来某src一个小MM在运营,累的要死要活的,结果白帽子们还不大满意,后来加人了,加钱了,那一切都好办了。携程这次也搞了个500万安全奖励上报漏洞的白帽子们,携程的教训告诉我们救火总是代价大

最后,甲方的安全同行们,共勉之。

二、作为携程的用户和信用卡的深度用户,给大家一些建议并说明下为啥:

1、携程的问题在国内好些公司都有。甲方的安全不好做的,知行合一很难的,“行”,是安全人员的核心竞争力之一,“行”的好需要足够的思考和资源。

2、不需要删除携程上绑定的信用卡更不需要去银行换卡。

A、为啥不需要解绑携程上的信用卡?

a、我相信这次事件之后,携程高层会更加重视安全,500万人民币的奖金都拿出来了,数字说明一切。

b、携程已经修复了漏洞。

c、你离开了这个“携程”,你一定会到我在1里说到的另一家公司存下你的信用卡信息 :)我说的不是elong也不是去哪儿也不是芒果网,可能是某个电子商务公司,也可能是某个游戏公司。到哪都是坑,就不要因噎废食了。作为用户,我们应该利用他方便的地方,尽量规避里面的风险。

B、为啥不需要去银行换卡。

原因如上c。你的信用卡换100次,我相信你还是会在网上用的。换卡只会给你带来麻烦,但解决不了问题。

另外报告这个漏洞的人我认识,业界的人品还是不错的,知道这个漏洞的应该只有此人和乌云的漏洞审核人员,换而言之,就是携程的信用卡数据不是像csdn的数据库那样随便都可以下载的。

3、降低额度并给信用卡设置消费提醒(微信or短信),遇到异常立马电话银行否认消费,并换卡。

A、降低额度可以降低风险,但同样影响了体验,你可以根据你日常使用的情况,降低额度。

B、开通信用卡消费提醒,遇到了不是自己产生的消费,在24小时内打电话给银行(越快越好),银行会负责追回款项。这个可能有童鞋不理解,找银行要钱,在中国,这比母猪上树容易吗?这个客观的说,得看银行和看你自己的沟通技巧了。我用招行信用卡10年了,期间被盗刷5次左右,大部分产生在国外的站点,最后一次是appstore(2月份,98RMB)。每次都快速追回了。每次都是短信提醒,我发现不对,然后电话招行客服,招行客服承诺2个工作日给我答复。为神马这么爽快?!因为出钱的是商家!

我帮我一票做外贸电商的吐吐苦水。知道做外贸电商的有多难吗?没用户下单的时候愁着如何发工资啊,有用户来了尼玛怕他在刷黑卡啊。如果有人盗用了信用卡在他们的平台支付,然后他们又发货了,接着真实的持卡者投诉到银行,银行向商家追回金额,这个时候,商家就货财两空了。

这个故事说完,就知道为啥银行可以快速的回钱给投诉的用户了吧。招商是可以的,但其他银行我没体验过,理论上是一样的,但不建议你测试,因为测试已经是欺诈了。

4、信用卡不要设置交易密码,否则银行会转移责任。

信用卡银行有查询密码和交易密码,交易密码就是你在刷卡的时候,需要输入的密码。

虽然大部分情况下在网上消费是不需要交易密码的,但是如果你设置了交易密码,这个可能会是一个银行的说辞,如果日后万一涉及法律,银行可能会咬着这点不放的。

无论携程是否出事,都建议如上使用信用卡

 

 

  1. 本文目前尚无任何评论.