12306铁路网站13万用户信息泄露事件一波未平,抢票软件信息泄露一波又起。今天早上国内流行的手机抢票APP“火车票达人”被曝出存在高危漏洞,300万用户身份证号、用户名、明文密码、详细票务信息等数据泄露。
明文存储是泄密根源
据悉“火车票达人”手机APP是由“移花互动”团队所开发的,之所以发生用户泄密是因为该团队存储记录用户的明文密码,并且没有对数据库采取有效的安全防护措施。
回看过去一整年的信息安全事件,出现类似的漏洞事件也不在少数。2014年3月22日,乌云平台曝光了在线旅游网站携程存在系统漏洞,用户持卡人姓名身份证、银行卡号、CVV码等信息有泄露的风险。幸而白帽子黑客及时通知了携程,避免了大量用户信息泄露事件的发生,但还是有90多位用户信息泄露。
携程对外称是员工工作失误导致用于处理用户支付的安全支付服务器接口开启了调试功能。但是,其实发生信息泄露事件危机的根本不在于员工工作失误,而在于携程明文保存了用户信用卡支付的CVV码,CVV码相当于密码,有了它便可以完成信用卡支付。明文保存CVV码且没有做加密保护,这是携程被推向风口浪尖的关键所在。在事件发生后,不仅携程股价一度下挫近10%,同时也使整个在线旅游的概念股都受到了冲击。
为何明知不安全却还故犯?
“火车票达人”与携程一样,都将用户的密码做了明文存储,却没有做加密保护,导致用户的数据可被任意黑客读取。那么问题来了,既然他们明知道明文储存不安全,为何还要明知故犯?虽然事件发生后,大家都会有一番泄密的说辞,但是究其根本,携程和“火车票达人”都是为了能简化流程,使操作更加简洁,提高用户体验,因而把用户密码做明文保存。
明文保存只是存在潜在风险的因素之一,但企业会造成泄密的深层原因在于没有对明文数据库做加密保护,这是引爆安全事件的导火线。小编也不禁要问,难道企业不知道数据不做加密保护极其不安全吗?是明知故犯还是心存侥幸?
安全漏洞究竟伤了谁?
企业发生安全漏洞导致用户信息泄露,最直接的受害者是用户,在“火车票达人”泄密事件发生之前,这一款抢票软件一直广受欢迎,但是相信在此之后,小伙伴们对于是否选择“火车票达人”还是会三思。表面上看,用户的信息泄露使用户造成损失,实际上,企业才是最直接最长远的受损者。携程在事件发生后,虽然及时修复了漏洞,避免了大规模泄密事件的发生,但是仍然面临着92位用户的损失赔付还有一再震荡的股价,更糟糕的是,由于该事件的发生,携程失去了一部分用户的信任,客户的流失、声誉受损使在线旅游行业老大地位遭受重创。
所以说,企业安全漏洞与其说是伤了用户,不如说是伤害了自身苦心经营的行业地位和指日可待的美好未来。为了避免出现安全漏洞事件,不管是“火车票达人”还是其他的企业,都应该重视保护用户的信息安全,保护好用户信息安全,就是保护企业自身。