可能很多朋友比較關(guān)心3月22日烏云爆出的攜程信用卡信息泄露的漏洞。具體過程我就不贅述了，因?yàn)槊魈炜隙ㄊ卿佁焐w地的新聞。這次的事件很多評(píng)論文章都沒有提到PCI-DSS標(biāo)準(zhǔn)，其實(shí)通過這個(gè)簡(jiǎn)單的維度就可以判斷哪篇評(píng)論靠譜，哪篇不靠譜。PCI-DSS是「第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)」，由VISA與MasterCard牽頭制定。凡是要做第三方支付業(yè)務(wù)，想在美國(guó)上市，必須要過這個(gè)標(biāo)準(zhǔn)。而在PCI-DSS標(biāo)準(zhǔn)中，明確的定義了如何實(shí)施數(shù)據(jù)保護(hù)，以及哪些信息是可以保存，哪些信息是不能保存(尤其是明文保存)的(比如CVV等敏感信息)。因此攜程這次是明確的違反了PCI-DSS的相關(guān)規(guī)定。

[[110428]]

因?yàn)閿y程在上市的時(shí)候肯定是通過了PCI-DSS標(biāo)準(zhǔn)的，由此也可以看出一些安全標(biāo)準(zhǔn)從實(shí)施到維持是何等的艱難。而「安全標(biāo)準(zhǔn)」、「合規(guī)」的要求現(xiàn)在已經(jīng)淪落為一門生意，含金量越來越低。實(shí)施PCI-DSS的安全公司可能會(huì)給客戶提交一大堆文檔，但真正認(rèn)真去落地的公司越來越少了。所以通過了安全標(biāo)準(zhǔn)并不意味著什么，只是花錢買了個(gè)牌照而已。比如PCI-DSS的要求會(huì)產(chǎn)生很多衍生的安全需求，而VISA也投了一些安全公司，他們把這里面的大部分利益給分了。在利益關(guān)聯(lián)之下，對(duì)認(rèn)證的審核必然不會(huì)太過嚴(yán)格。

這次的事件按照攜程官方的解釋是出于調(diào)試的目的記錄了臨時(shí)日志，共涉及到93名用戶，未發(fā)現(xiàn)其他數(shù)據(jù)泄露。我相信這個(gè)漏洞的提交者「豬豬俠」并不會(huì)將這部分?jǐn)?shù)據(jù)用于惡意用途，因?yàn)樗跇I(yè)內(nèi)的口碑非常好，且如果想這么干，就不會(huì)把漏洞提交給烏云了。但攜程是否還存在其他問題卻不得而知。

對(duì)于用戶而言，可能會(huì)產(chǎn)生恐慌心理而要求銀行更換信用卡。但除非你以后不再用網(wǎng)上信用卡支付了，否則類似的問題短期內(nèi)還是很難避免。我相信還有很多公司比攜程做的更糟糕，更缺乏規(guī)范，特別是一些還沒有上市，沒有通過PCI-DSS認(rèn)證的公司，只是這些問題沒有被暴露在陽(yáng)光下，因此你不知道而已。

對(duì)攜程來說，這次的事件與其說是技術(shù)上的漏洞，不如說是信譽(yù)上的危機(jī)。同時(shí)也讓我們看到了安全的重要性：建立用戶信任可能需要若干年，毀掉它卻只需要一天。