昨天下午支付宝服务中断超过个小时。估计肯定有技术人员要背大黑锅了。
今天下午更悲催,到现在为止,携程网站和App依然全线瘫痪。
转了一圈问了一些人,对携程的事件,现在依然没有一个准确的说法。根据不一定靠谱的消息,携程各个节点上的所有业务代码都被干掉了。
事件的真相如何,也许我们永远也不可能知道。但是携程在安全问题上犯二也不是第一次了。希望这一次不涉及大规模的数据泄漏。
今天我想聊的,是关于在互联网上如何安全地使用信用卡。
以携程为代表的众多互联网公司和移动互联网公司,非常流畅地在使用信用卡支付通道进行收款。最近随着打车软件的兴起,要求用户在手机或者网站上绑定信用卡的应用越来越多了。除了uber,最近我还看到一号专车、去哪儿客户端等也开始鼓励用户绑定信用卡。
事实上就我看到的情况,这些绑定中的绝大多数是不合法和不安全的。
第三方支付行业信息安全标准领域有一个强制性的认证标准,称之为PCI DSS,全称是Payment Card Industry (PCI) Data Security Standard.
这个标准中有一个很重要的条款,叫做敏感数据储存条款。
原文如下:
Do not store sensitive authentication data after authorization (even if encrypted). If sensitive authentication data is received, render all data unrecoverable upon completion of the authorization process.
意思是,任何敏感认证数据(SAD:Sensitive Authentication Data)在授权完成之后禁止存储,即使进行了加密也是绝对禁止的。
什么意思呢?如果你使用的App,在你完成首次信用卡支付授权之后,是不应该储存你的信用卡敏感信息的。如果你下次支付没有输入任何信息就自动完成了,那么这个应用肯定是违反PCI DSS的。
举个例子,你第一次去超市卖东西。收银员在你刷了卡,输完密码完成交易后对你说:
先生,为了下次你来超市购物方便,不如干脆把信用卡放在我这里。你把密码告诉我。这样下次你购物完毕后,就不用刷卡了。我帮你处理好了。
方便是方便了,可惜钱也不受你控制了。即使这个收银员天性善良,但是你也不能保证她不会让小偷把你的卡和密码偷走。
携程这种级别的公司,都没有办法保证自己数据和业务的安全,你能放心把自己的钱交给那些还没上市的移动互联网公司?
中国的互联网公司里面,能让我觉得可以放心做到这一点的,不超过家。腾讯算一家。
想一下你的信用卡和银行卡信息,绑定了多少个应用?
