本篇文章4033字,读完约10分钟

叶从来没有想到他在的技术改造和升级会给他的openstack团队带来巨大的压力。新上任的Ctrip.com技术副总裁对整个技术框架进行了大刀阔斧的改革。 程也是小和,小和也被打败了。 黑云漏洞平台上披露的一个信用卡支付“漏洞”让雄心勃勃的叶失足。漏洞哈希是BF 9165488 F5 e 2e ea3 ca 02 EC 6b 310446 b 0。 虽然以前,吴云。com不断披露,JD.com、支付宝、网易等国内知名互联网公司的用户信息安全保护存在高风险漏洞。然而,这种对携程漏洞的详细描述——“携程的用户名、身份证号、银行卡类别、银行卡号码、银行卡cvv代码和其他信用卡支付的信息可能被黑客读取了”激起了公众的敏感神经。 信用卡这个“令人震惊的漏洞”之前已经被媒体一个接一个地曝光了。在线在线在线旅行社网站没有支付卡和密码也是业内普遍存在的问题,但它已经拖累了携程。 携程的R&D技术部和信息安全部在业内享有盛誉。携程网完全自建的it系统包括网站系统、网上交易系统、采购系统和其他子业务系统。就复杂性而言,淘宝是唯一可以与之相比的。 但关键是R&D技术部和信息安全部之间存在微妙的博弈关系。从表面上看,携程的漏洞源于部门员工的意外失误,但实际上是在线旅行社企业恶性竞争的必然结果。 他们的解释 在线旅游市场正在相互竞争,而拥有最大市场份额的携程旅行网曾率先成为先锋,过着美好的生活。然而,随着鳄龙和去哪儿等竞争对手的崛起,其领先地位长期处于危险之中。在商业模式方面,携程仍然依靠十多年前开始营业时建立的呼叫中心来带来业务量,而其老对手鳄龙已经在进行变革,切断线下发卡渠道,全面发展网上销售。 携程一直站着不动,直到叶亚明出现。 作为ota行业的领导者,经过十多年的发展,携程已经逐步建立起自己的护城河——一个强大的it系统。这个核心部门一直相当神秘,《金融周刊》(微信公众号:金钱周刊)的记者转而寻找内部人士,拒绝采访媒体。《金融周刊》记者以多种方式进行了询问,试图揭示其鲜为人知的角落。 携程的it系统复杂而庞大,而且是一步一步自己构建的。叶上任后,在携程网完成了几项重要的技术改进。根据中国软件(报价、咨询)发展联盟csdn的公开信息,携程的技术改造和升级分别安排在前端和后端。页面修改在网站前台进行,平台资源在后台以开放API(Open Application Programming Interface)的方式打开,并建立数据中心进行大数据处理。 云技术只是叶对的小小考验。他更大的抱负在于公司技术架构的创新。目前,携程已经采用openstack作为云计算平台。他正在设定一个长期的形势。 在叶看来,未来无线业务的增长率将远远超过呼叫中心。在新架构下,物理机器可以完全虚拟化。例如,如果增加300人,将创建300台虚拟机。虽然人数增加了,但管理机器的数量没有改变,这将提高效率。 可以想象,如果这一切都万无一失,那就可以称得上是叶在携程的一场大战。 然而,当《金融周刊》记者查询中国软件开发联盟csdn的公开信息时,发现携程的openstack团队总共不到20人,其中只有六七名核心技术人员,与庞大的呼叫中心和无线业务人员相比,这是九根牛一毛。一千英里的堤坝在蚁巢中被摧毁了。 这个部门建立了一个庞大的系统。不久前,由于技术人员的粗心操作,它被黑客抓住了。 3月22日下午,五云漏洞平台发布消息称携程系统存在技术漏洞,可能导致用户个人信息和银行卡信息泄露。当晚11点,携程技术人员证实了这些漏洞。23日上午7: 00,携程网官方报告称漏洞已经被修复。根据吴云的说法。携程开通了用户支付处理服务接口的调试功能,使得一些传输到银行接口验证持卡人身份的数据包直接存储在本地服务器上。 在接受《金融周刊》记者关于事故原因的采访时,携程公共关系部表示:“漏洞是由携程技术人员在排除服务器系统故障时留下临时日志造成的。” 关于技术故障排除,相关网站技术人员向《金融周刊》记者做了详细描述:“所有网站在这方面都是相似的,网站技术人员定期扫描每台服务器,主要是为了发现潜在的漏洞并进行修复。这种扫描,有些网站是自己完成的,有些会被第三方组织扫描,他们会发布一个漏洞列表和修复意见。” 此漏洞扫描部门也称为信息安全部门或风险控制部门。携程网有一个独立的信息安全部门,负责漏洞扫描和故障排除,但该漏洞是由第三方平台Wuyun.com发布的。 携程的公共关系部告诉记者:“这部分信息也是加密的,即使你得到了信息,你也必须在阅读之前破解它。”这对黑客来说并不难。 与此同时,《金融周刊》的记者打电话给另一家在线旅行社,在其网站上付款时,它就像携程一样成功,没有卡也没有秘密。它的首席执行官说:“我们不是用明文保存的,我们是加密保存的。”我们也看到携程的例子,但具体情况不是很清楚。”对于当时未支付的客户信息,没有要求将敏感的客户信息保留7天,R&D风险控制部和审计法律事务部也对此负责。 “拇指”+“水泥” 携程旅行网只是冰山一角。 无卡无密码用信用卡支付是一种普遍现象。无论您是在Ctrip.com、Tongcheng.com、eLong.com、芒果网还是其他在线旅行社网站上,使用信用卡支付时,您只需要卡号、截止日期和cvv代码,而不需要密码或卡。 “无卡无密的支付方式是合理的,是行业规定的。如酒店预订、携程旅行网和类似的商务旅游网站通常被使用。原则上,商务旅行网站不应保存cvv和其他信息,这是非法的,但银行不知道该网站是否这样做。”建行信用卡部的办公室职员肖瑞娟告诉《金融周刊》记者。招商银行信用卡专员也肯定了这一说法,称采用这种支付方式的渠道很多,目前不可能提供完整的清单。大多数外贸网站可以通过卡号、卡面上的有效期和背面的最后三位数字来填写。然而,如果一些网站需要万事达卡或签证认证服务,他们会要求查询密码进行认证。 然而,携程的错误在于非法保存cvv代码等敏感客户信息,这显然违反了央行的规定。 根据《中央银行银行卡收单业务管理办法》第二十八条,收单机构不得以任何方式存储银行卡的跟踪信息或芯片信息、卡验证码、卡有效期、个人识别码等敏感信息。并采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。 对此,携程告诉《金融周刊》记者:“我们将在交易完成后删除客户的cvv信息,不会保存。删除之前保存的cvv信息。曾经存在的信用卡信息在传输和存储过程中始终是加密的,任何未经授权的人都无法获得该信息。” 但是携程为什么非法保存客户信用卡的敏感信息呢? “记录信息有多种思维层次,方便用户就是其中之一。有一些目的,比如让调试对我们自己来说很方便,但是我们很难知道它还有什么其他的目的。毫无疑问,携程不会自己盗取用户的卡。理所当然,这些知名的支付相关网站是可信的,他们不会做出伤害用户的行为,但有些规定执行得不好,这是他们工作中的一个错误。”首创中国网站安全云监控和云防御的于闯公司研究部主任余弦告诉《金融周刊》记者。 此携程漏洞是因为开发人员开始调试,留下了临时日志,这导致了信息泄露的可能性。开发人员开启调试意味着什么?“由于在程序开发中启用了调试,它将帮助程序员更准确地定位整个支付过程中的一些问题,这可能有利于他们业务的改进。不仅是开发新产品,还有现有的支付环节,可能存在一些逻辑上的缺陷,比如漏洞。调试有助于程序员或开发人员进一步改进工作。”余弦解释了这一点。 这涉及到R&D部门和安全部门之间的一个共同矛盾:开发可能会为了满足业务而忽略安全线。安全部门可能会要求开发人员实施一些安全标准,但这些标准的实施可能会影响开发进度。“它们是两个互补的部门。如果他们能很好地合作,就不会有携程事件。”余弦告诉金融周刊记者。 为此,业内一些分析师认为,携程的用户信息泄露事件可能是无线R&D迅速发展的伪装造成的。访问携程的公众意见网络技术部负责人也对携程产品开发和更新的速度表示钦佩。携程网首席执行官梁建章在去年回归后推出了“拇指+水泥”战略,将更多资源转移到移动互联网上,所有最新的丰富旅游产品都在移动领域首次尝试。梁建章表示,以无线客户端为代表的移动互联网将是携程突破的关键点。在携程网内部,无线服务也被称为“第二次创业”。 然而,余弦认为这与市场竞争关系不大,“这与开发商的安全意识有关”,于说。 “边缘球”基因 由于无卡无密码支付是行业惯例,信用卡支付的这个“漏洞”早就被媒体曝光了,但携程的一个“漏洞”为什么会引起如此多的关注和讨论? “首先,它关系到公民的财产,用户非常关心;其次,信用卡的快速支付非常方便。与银行卡不同,信用卡甚至不需要密码;第三,这件事有很多黑色公关炒作,这是大大夸大和不负责任的放大。你听说过最近有人被偷了吗?”余弦这样问记者。作为安全圈的一员,他直言不讳地表示,黑客永远不会窃取任何众所周知的东西。 作为在线旅游市场的领导者,携程的用户分布很广。据报道,每天有80多万人在携程网订票。 自2012年鳄龙挑起携程引发国内在线旅行社价格战以来,携程一直被动地参与对鳄龙、桐城、去哪儿和芒果等多家小型在线旅行社的联合围剿。 经过一年多的激烈战斗,ota的模式没有改变。尽管携程失去了它的部队,但它仍然保持着领先地位,它2013年的财务报告相当引人注目。根据财务报告,携程2013年的净营业收入为人民币54亿元(约合8.9亿美元),比2012年增长30%。2013年,鳄龙的净亏损达到创纪录的1.68亿元。除了真金白银的价格战之外,口水战几乎没有停止过。携程这次犯了如此低级的错误,这是一个难得的反击机会。 尽管行业内竞争环境激烈,携程本身就带有“非法打球”的基因,这可能为此次活动铺平了道路,而这一看似偶然的事件也凸显了其必然性。 携程诞生于“违规”。十年前,该行业跨地区购买机票是非法的,但携程敢于推出一个全国性的在线预订平台。“这种违规行为是不成熟商业规则的表现。为什么改革是为了摆脱这些看似合法但实际上却是非法的不合理的东西。因此,携程十年前取得了这样的突破。”携程信用卡支付漏洞的前一天,首席执行官范敏曾公开表示。 正是这种甜蜜让范敏更加大胆。 据知情人士透露,2009年之前,携程服务器没有保存用户的cvv代码。每次用户购买机票,他们都需要输入cvv代码来预订酒店;但在2009年,为了简化操作流程和优化客户体验,范敏决定在携程网服务器上保留cvv代码。 现在看来,是范敏当时的决定为今天的“漏洞”埋下了隐患。 携程网对此事件的最新决策是:“我们将根据监管部门的要求,尽快优化和完善用户支付流程。加强对所有可能漏洞的内部调查,并邀请国内知名网络安全专家咨询携程系统。与此同时,我们已经启动了cfca和pci的认证程序,以便更好地满足监管要求。” 问题是携程之前曾打算访问认证程序,但在公司员工访问后,发现携程自己的系统太难整改,服务种类多,交叉路口多。如果系统被访问,体系结构将会改变,这导致引入cfca和pci认证标准的失败。 “但是pci不是一个法律条款,它只是支付卡大亨自己制定的一个标准。这并不意味着用户的敏感信息可以通过pci保存,而且必须符合国内法规。”pci-dss在中国的合作伙伴北京航天展览公司的工作人员告诉《金融周刊》记者。 接下来,携程不仅面临着引入pci-dss标准的技术考验,还面临着如何重建安全支付的信任和重新获得消费者信任的问题。

携程泄密事件技术拆解:50亿营收核心IT人员仅六、七名

关注最关心的金融话题,一起讨论。

三链:吃昆虫、吃厕所和油炸??3.模纸锻造,模具模具模具模具模具模具模具模具模具模具模具??. 95镣铐和镣铐??0.07%锝58.....

当前流行度:0

[娇娇]http://itougu.jrj/view/189514.j.....

当前流行度:0

1.1 .涓涓细流??邦邦、邦邦、邦邦、交邦和廖廖??变得强大。.....

当前流行度:0

你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道........

当前流行度:0

缇落入三条锁链??3镝??6铥??0(乌桕脂含有3条链吗??4镝??4铥??0)死,死,死,死又死,4.72??......

当前流行度:0

那墙,墙,墙和墙呢??钳子里有丰富的镰刀、叉子、叉子、nan和链条,这些都是銮棒的来源.....

当前流行度:1

你想挑起镝,破坏哮喘吗??缇,汤,汤,3汤和柊镶嵌??链条??4."敌鲁,缇,汤,汤,汤."??.....

当前流行度:0

咸丰、大树、细垴、十二寸、相互涓涓??环秀细链,涓涓细流,砸铙钹,甩铙钹,砸铙钹,砸铙钹,砸响,砸得咝咝作响??葛格·岳格·柊.....

当前流行度:0

来源:济南日报

标题:携程泄密事件技术拆解:50亿营收核心IT人员仅六、七名

地址:http://www.jy2z.com/jnxw/9191.html