首页
社区
课程
招聘
白帽专家解析携程泄密事件原因 提醒四大注意
发表于: 2014-3-25 00:05 502

白帽专家解析携程泄密事件原因 提醒四大注意

2014-3-25 00:05
502
新闻链接:http://www.ruanjianshan.com/bai-mao-zhuan-jia-jie-xi-xie-cheng-xie-mi-shi-jian-yuan-yin-ti-xing-si-da-zhu-yi.html
新闻时间:2014-03-24 19:07:36

携程支付日志泄露后引发了巨大的信任危机,对此国内安全团队Keen Team对表示,在安全支付日志中被记录的用户敏感信息是经过AES加密的,在加密密钥没有对外泄露的情况下,AES的加密强度足以抵御来自民间的解密尝试。Keen Team团队安全专家表示,携程这次严重安全问题是由多个因素共同导致的。

一是开发人员在应用开发的排错过程中打开了Debug开关,导致安全支付日志中错误记录了用户银行卡的相关信息;二是安全支付日志目录本身没有做好安全基准配置,或者通俗的讲法,没有做好目录权限控制,导致安全日志通过互联网可以被浏览、遍历和下载。

在安全支付日志中被错误记录的用户敏感信息,包括信用卡号、信用卡有效期、信用卡CVV三位验证码是经过AES加密后存储在安全日志中的。在加密密钥没有对外泄露的情况下,AES的加密强度足以抵御来自民间的解密尝试,加密处理过的用户信息在一定程度上还是得到保障的。

从技术角度评判,这次安全事件中的漏洞本身技术因素并不复杂,导致问题的主要原因是开发和运维人员缺乏安全意识,同时也缺乏安全问题发生时相应的技术防护手段。简而言之,这次安全事件更多的是信息安全管理的问题。这次事件携程在事后的快速响应表现也不错。

对于涉及支付的重要互联网应用,为了避免此类严重问题再次发生,Keen Team认为有必要做好以下几点:

1. 实际生产环境和测试开发环境应该隔离。业务问题的排错应该在测试环境中进行,避免生产环境收到影响。

2. 在生产环境中的任何改动,需要严格遵循变更管理流程,做到执行人、时间、执行对象和具体改动均记录在案,并有企业信息安全部门进行事前审核和事后审计。

3. 遵循支付相关规范标准,类似用户的CVV码等验证信息是严禁存储的。对于“无卡支付”这类业务要求,企业信息安全部门应该及早介入并制止。建议对现有支付手段进行排查,并消除此类安全隐患。

4. 做好所有开发人员和运维保障人员的安全意识教育,他们的一举一动都会影响用户的个人隐私信息安全。

Keen Team是国内顶尖的白帽安全团队,团队成员相继在去年和今年的Pwn2Own黑客大赛上攻破了iOS 7.0.3、64位Mac OS X 10.9.2和Windows 8.1。
本文转自:软件山

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//