6月9日,一篇名为《图形验证码在携程的实践之路》的文章在业内传播。文中阐述了携程在登录安全方面所做的历次提升与改进,而文章来源注明为携程技术中心。
但提到安全漏洞,携程的安全防控一直饱受诟病。曾经的泄漏门事件至今是互联网安全的反面教材。当时面对蜂拥的质疑,携程采取了冷处理的方式。
2014年3月22日,漏洞报告平台乌云(WooYun)曝光携程支付日志存在安全漏洞,导致大量用户银行卡信息泄露 (包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin),存在被盗刷风险。
携程方面的处理是,紧急通知了93名潜在风险用户换卡,并每人发放500元卡作为补偿。
但用户的负面情绪并没有缓和,多家银行的客服电话仍然被打爆,有用户甚至愤怒得剪毁了绑定的银行卡,500元赔偿的行为也被指避重就轻。
这次事件引发的恐慌远远超过了事件本身,也降低了人们对在线支付和移动支付的信心。
《风声》导演高群书就发微博表示“坚持不用网银,不绑定信用卡,是十分正确的。”
还有用户在携程官方微博中指出,此事的重点不在于漏洞,而在于违法存储用户的身份证、银行卡等敏感信息。
不到4个月,携程又一次暴露出同样的问题。
2014年7月,乌云漏洞报告平台再次曝出了携程网的新漏洞:携程安全支付存在漏洞,只需要信用卡日期和卡号就可进行消费。这显然因为携程保留了用户的其他有效信息,才能实现快速扣款。
曾有内部人士向媒体透露,“携程一直在打擦边球,一直在做这种留存。据我所知,如果你(银行)不给他提供这种接口,携程不会跟你合作。而且合作条件很苛刻。”
而携程对此次事件的回应,依然只是提醒消费者,保管好自己的信用卡信息。
这种回避责任的表现,也消磨了用户的耐心:“真的是时候和携程说再见了,因为携程从来都是这样,不为客户着想。犯了错误不思悔过,总能找出各种各样的理由搪塞过去。”
2015年,泄漏风波刚刚淡去,携程又迎来了惊魂12小时。
5月28日11:09分到晚上23:29分,携程官网和App大面积瘫痪。对于宕机的理由,携程最终给出的答案是,员工误操作。
有人指出,“从技术层面上看,这是一个十分低级的错误,哪怕是一个新手,都不应该犯这样的错误。”而携程内部显然缺乏必要的权限设置,其背后是对安全防控的忽视。
也有人指出,携程迅猛扩张的同时,运维人数在整个技术团队中增长有限,所占比重最低。这显然是将安全摆在末位。
网友“携程在手,安全颤抖”这样的调侃背后,却是作为消费者的无奈。
随着人们对网络消费的依赖,网络安全已经成为最突出的问题。分享安全防控方面经验的同时,携程或许更应时刻保持警惕,提防曾经的安全漏洞噩梦,再次上演。