外媒称美国安局曾监控中国前任领导人 信息安全股活跃
2014-03-24 22:09:10   来源:凤凰财经   评论:0 点击:

导读:环球时报报道,“美国国家安全局(NSA)曾入侵中国科技公司华为总部的服务器”,美国《纽约时报》和德国《明镜》周刊22日同时刊发美国前情报人员斯诺登的最新爆料。《明镜》周刊称,美国
凤凰财经讯 周一,信息安全股走势活跃。其中,立思辰[2.70% 资金 研报]涨超7%,启明信息[0.11% 资金 研报]涨超3%,卫士通[3.14% 资金 研报]、梅泰诺[1.67% 资金 研报]、榕基软件[0.00% 资金 研报]涨超2%,蓝盾股份[3.19% 资金 研报]、同有科技[-1.88% 资金 研报]等个股涨幅居前。
 
环球时报报道,“美国国家安全局(NSA)曾入侵中国科技公司华为总部的服务器”,美国《纽约时报》和德国《明镜》周刊22日同时刊发美国前情报人员斯诺登的最新爆料。《明镜》周刊称,美国的监控目标还包括数位中国前任国家领导人和多个政府部门及银行。斯诺登此前的爆料称,德国总理默克尔的个人通信也在美国的监控之下。华为公司23日发给《环球时报》的声明称:如果《纽约时报》的报道属实,我们对于此类入侵、渗透到我们的内部网络并监控通信的行为表示强烈谴责。尽管当今数字时代的现状就是公司的网络不断遭到来自不同源头的监控和攻击。但我们再次重申,华为反对一切危害网络安全的行为,并愿意以最为开放透明的态度与各国政府、行业、用户一起合作,共同应对全球网络安全挑战。
 
在“棱镜门”事件去年曝光之前,美国长期指责中国针对美国发动黑客攻击,并声称许多黑客具有军方背景。美国一些政客以华为公司与中国军方“关系不清”为由,开始怀疑该公司可能在产品中暗藏“后门”。但据《纽约时报》称,斯诺登曝光的一份NSA2010年的文件显示,在国安局一个代号为“攻击巨人”的行动中,华为反而是美国间谍行动的目标之一。这一行动起始于2007年,最初目标在于寻找华为与中国军方存在关系的证据。大约3年后,隶属于国安局的“获得特定情报行动办公室”终于发现了一种侵入华为公司总部服务器的办法,并窃取了华为创始人任正非的通信记录等信息。
 
这份最新曝光的文件并未提及国安局是否如愿搜集到了华为与军方存在关系的证据,但美国众议院情报委员会2012年发表的一份报告承认,没有证据表明华为等中国公司存在官方背景。据《纽约时报》报道,NSA针对华为的间谍行为并未止于“搜证”,入侵该公司的服务器后,NSA开始据此进行进一步监控。伊朗、阿富汗、巴基斯坦、肯尼亚和古巴等不愿购买美国设备的国家大量采用了华为的技术设备,NSA“发觉可以通过侵入华为设备来监控这些国家的目标”,“文件显示,只要获得美国总统的许可,国安局还可针对这些目标发动网络攻击”。《明镜》周刊引述NSA一份内部文件说,“我们取得了太多数据和资料,多到不知道该怎么办。”
 
“中美‘电子冷战’加速”,美国《时代》周刊23日评论称,网络安全一直是中美关系的症结之一,一般是美国怀疑中国政府及其黑客入侵美国政府及企业的网络,但最新的爆料提供了另外的视角。《华盛顿邮报》23日引述华为美国业务高管普卢默的话称,华为并不知道自己是NSA的目标,“讽刺的是,美国指控中国针对美国的所作所为,实际上恰恰是美国针对我们的做法”。他还表示,如果NSA真对华为开展了间谍行动,正好可以借此明白华为与中国政府没有关系,而是一家独立企业。
 
“华盛顿正在失去其道德”,德国《焦点》周刊23日引述外交政策专家的评论称,“多年来美国一直以‘中国间谍和黑客攻击’为由向中国施压。而实际上,美国自己才是窃听者”。德国新闻电视台称,美国几乎在全方位监听“整个中国”,“说到底,这是因为美国害怕中国超越自己成为世界超级大国”。
 
另外,据广州日报报道,继“酒店开房信息遭泄露”、“浏览器泄露用户隐私”等事件之后,“携程”又被爆有泄露用户银行卡信息风险。对此,携程方面称是公司在技术调试过程中出现短时漏洞。不过,业内专家则表示,并非低级技术错误这么简单,“存储了用户信用卡的CVV码,还泄露了,前一个是企业的基本道德问题,后一个是安全问题”。
 
漏洞报告平台乌云网22日公告指出携程安全支付日志可下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码等),有可能被黑客所读取。昨日携程方面承认是公司在技术调试过程中出现短时漏洞,目前没有出现恶意下载有关数据和用户信用卡被盗刷的情况,承诺未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。
 
记者调查也发现,携程违规超范围存储用户信用卡信息,而为了“征得”用户同意,部分网站则是以“常用卡”为名征存储用户的信息。有业内人士则指出,并非是低级技术错误这么简单,携程系统一直就能看到用户信息,虽然屏蔽了卡号却显示有效期和CVN2等信息。该事件也将令携程股价承压。
 
据了解,乌云网指出携程安全支付日志可下载,导致包含持卡人姓名身份证、银行卡号、卡CVV码等大量用户银行卡信息泄露,还被爆某分站源代码包可直接下载,涉及数据库配置和支付接口信息。
 
在该漏洞被爆出后,昨日有携程用户表示,为了以防万一对信用卡做了挂失处理,部分用户则是直接选择更换了卡片。携程方面表示,漏洞发现人做了测试下载,内容含有少量加密卡号信息,共涉及93名存在潜在风险的用户,目前已经全部删除。公司客服昨日开始通知用户更换信用卡。
 
携程方面承认,在技术调试过程中出现了短时漏洞,该漏洞受影响的用户为近期的部分交易客户,但经过排查没有出现恶意下载有关数据的情况。有分析指出,系统漏洞发生在21日和22日,在这两日使用信用卡支付的消费者可能存在风险。
 
事件发生后携程已经和各大银行联系核实,目前还没有出现用户信用卡被盗刷的情况。
 
“我们正在联合携程和各商业银行共同研究进一步解决措施。”银联资深风险专家王宇表示。
 
卡CVV码,是印在信用卡卡片上的一组检查码,用来验证信用卡,根据不同类型的卡而印于卡的正面或背面,对于银联组织的银联标准卡使用的称为CVN2。
 
质疑一:
 
并非低级技术
 
错误这么简单
 
对携程的解释,原Google技术总监胡宁认为,用户信用卡信息泄露并非犯低级技术错误这么简单,敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理,这都是常识。
 
乌云方面透露称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
 
有业内人士表示,问题是出在他们想把银行发出的验证信息都直接保存到本地。胡宁认为,根据事故报告,携程可能并未故意存储CVV信息,但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞,一步错,步步错。
 
质疑二:
 
超范围保留用户信用卡信息
 
有业内人士爆料称,在该漏洞爆出前携程系统里就已经能看到用户信息,虽然屏蔽了卡号却显示有效期和CVN2,“银联相关标准严格要求商户系统不得以任何方式存储这些银联卡片敏感信息,有了这些数据,可以轻易伪造在线支付交易,客户敏感信息和交易安全从何保证”。
 
对此,昨日携程方面回应称,公司对CVV的处理符合行规,与国内外主流电商网站相符,所留存的用户支付信息是经用户授权后保存的,利于用户日后的支付便捷,如果用户没有授权,携程将不予保存。
 
根据中国银联风险管理委员会发布的《银联卡收单机构账户信息安全管理标准》,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。由此可见,携程日志中存储的信息明显超过该标准的允许范围。汽车之家创始人李想则表示,“存储了用户信用卡的CVV,还泄露了,前一个是企业的基本道德问题,后一个是安全问题”。  
 
质疑三:
 
以“常用卡”的名义存储用户信息
 
昨日,一家在线旅游网站人士表示,不少网站都会让用户勾选保留常用卡信息,消费者初次使用的时候需提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,然后提交支付,但第二次使用这张信用卡时,只需提供卡号后四位及CVV2码就会完成这次支付操作,这也变相证明了是在本地存储了用户的相关信用卡的信息。
 
记者登录携程也发现,在用户选择银行卡支付后,会提示用户是否保存至常用信用卡以便下次方便支付,但携程并未提示会记录信用卡的相关信息。
 
有业内人士表示,知道了CVV码和信用卡卡号就差不多能进行离线支付,泄露后风险很大,而且这种操作也会被银行视作是持卡人本人操作,部分盗取信息的人也可以用来注册购买其他产品服务。  
 
多家银行表示
 
免费补办新卡
 
昨日,记者以顾客身份咨询多家银行的客服热线获悉,因携程事件而需要更换卡片的用户,多家银行均免费补办新卡。
 
招行客服人员表示:“如果是因为担心携程支付日志泄露的,我们可以免费补办卡。”据了解,该行如果办理卡片挂失补办信用卡的,收费是60元;如果是损坏补办的,收费是15元。该客服还表示,根据携程公布,目前有可能受影响的是3月21日与3月22日两天有交易的,“如果不是这两天消费的,是不用担心的,不会受影响。”客服说。
 
 
建行的客服人员也表示,如果是因为担心携程漏洞的,可以免费补寄新卡。
 
某银行相关负责人告诉记者,“此次信息泄漏是电商支付系统问题,涉事消费者最好、最安全的办法就是更换新卡。”
 
目前,银行业尚未发现用户信用卡被盗刷的情况。
 
消费提醒
 
昨日多家银行客服建议消费者可以考虑换卡或者冻结,近日在携程上使用信用卡交易过的有风险。部分消费者不愿意更换信用卡,应尽快修改相关银行卡密码等信息,出现异常应尽快联系银行、公司的官方客服电话。也应该设置网银单笔消费额度,开通短信提醒等以降低风险。用户信息被泄露后除了对财产安全造成影响外,消费者还需提防相关的诈骗短信。

相关热词搜索:美国 前任 中国

上一篇:携程信用卡信息泄露事件给我们普通用户的警示
下一篇:携程用户资料遭泄露 事件性催化或引爆信息安全板块

分享到: 收藏