從攜程信用卡資訊洩露事件談網上支付安全

最近攜程被爆信用卡資訊洩露事件，事件內容：http://www.wooyun.org/bugs/wooyun-2010-054302

攜程宣告：http://pages.ctrip.com/commerce/promote/201403/other/xf/index.html

各種網際網路大公司網站各種漏洞：http://www.wooyun.org/index.php

首先，使用者通過攜程訂票在支付時，會將自己的信用卡支付資訊在攜程的頁面中填寫好，然後攜程通過銀行給的介面將表單資訊傳送給銀行進行驗證，在這個過程中，攜程的技術人員在除錯介面的過程中，把信用卡支付資訊無間留在了伺服器的日誌中，必須說明下這裡銀行給的介面中含的CVV碼，密碼支付資訊是明文的，問題出在這裡！

平常我們通過支付寶的銀行通道進行網購時，支付寶不會傳輸我們的銀行卡資訊，而只要訂單資訊，轉到銀行官網進行支付，個人覺得這是一條相對安全的通道，就是有關支付資訊的內容（特別是CVV碼，密碼等資訊）都應該在銀行這端進行輸入操作而不應該在第三方支付平臺。

不管是傳統的網際網路支付還是心在火熱的移動網際網路上的支付，安全都應該是最重要的主題。

在PC端，個人電腦中病毒是常有的事，一旦有相關支付的資訊被病毒記錄，那對於使用者的賬戶安全來說是致命的，這時最安全的方式就是單有卡號和密碼是不能在網上消費的，每次支付必須還要有手機的動態密碼，這樣才能保證使用者資金的100%安全，當然在這點上很多銀行還是做得有欠缺的！

在移動端，手機上的各種監聽監控程式多得數不來，不管是移動web支付還是app支付，都是需要密碼或者9個點連線的密碼，但是這也可能被手機程式記錄下來，一旦記錄並被黑客利用，那使用者的資金安全顯然受到很大的威脅，特別是啟用快捷支付的使用者們。移動支付如果要100%資金安全，現在來說是不可能的，當然如果你的手機是大廠商非山寨而且以前沒有隨便裝些小廠商小開發者開發的app，那麼移動支付對您的風險來說會小很多。

總之，網上支付沒有100%的安全，最好裝360等防毒軟體，保持系統每天更新，少上些不知名的網站，如果您的PC或者Phone是用來網上支付的話，緊個人建議！

最後建議那些使用快捷支付的同學們，朋友們，建議開通快捷支付的銀行卡上餘額不要太多（選用非工資卡等餘額較低的銀行卡），降低風險，因為個人感覺這個東東很不靠譜，第二次支付不會有任何簡訊驗證的，不需要再次輸入密碼！