老冀在前面一篇文章中談到了華為公司的內部網絡被美國國家安全局入侵的問題，其實上個月還有一起安全事件對咱們普通人的影響更大，那就是攜程的“信用卡門”。由于攜程網開啟了用戶支付服務接口的調試功能，支付過程中的調試信息可被任意黑客讀取，從而導致有可能出現大量用戶銀行卡信息泄露。

前不久，老冀跟梆梆安全創(chuàng)始人兼總裁闞志剛做過交流，他們最近正忙著幫攜程修補安全漏洞。據了解，這次攜程“信用卡門”的漏洞并沒有出在PC網站上，而是在移動端上。由于攜程最近正在大力發(fā)展移動業(yè)務，找了外包公司幫助其開發(fā)App應用。而外包公司對于移動安全的考慮不是太夠，將一些程序的調試、日志和注釋等信息“遺忘”在現場，據此黑客可以很輕松地找到存放用戶信用卡信息的數據庫并進行調用。當然，攜程很快就發(fā)現并補上了這個漏洞，到目前為止也沒有出現用戶信用卡被盜刷的情況。

攜程這次出的問題看起來比較低級，而實際上卻反映了一個很嚴肅的問題：一味地滿足用戶體驗是否合適？要知道，這次出問題，很大程度上就是攜程為了讓用戶使用更加方便而對App進行升級。為了趕進度，只能用外包公司，對于開發(fā)流程的控制和管理也就不那么嚴密。

如果你在攜程網上用過信用卡，第一次確實很麻煩，需要提供信用卡卡種、卡號、有效期、CVV碼（即信用卡背后那個3位的驗證碼）等一系列完整信息，然后才能提交支付。不過，當你第二次支付的時候就會很方便，只需要輸入卡號的后四位，就能順利地完成支付。你方便的代價就是留下了安全隱患。此前攜程的服務器上并不留存用戶的CVV碼，而到了2009年為了用戶體驗，攜程開始在服務器上留存CVV碼。

在這里，越來越互聯網化的攜程做了很正確的事，就是用互聯網思維武裝自己，而互聯網思維的第一要點就是要保證極致的用戶體驗。問題是，用戶體驗和系統(tǒng)安全往往不能得兼，如果只是片面強調用戶體驗，系統(tǒng)安全必然會被忽視，最終有可能導致災難性的后果。到了那個時候，用戶體驗也沒有了。

最近幾年，隨著互聯網行業(yè)加速向傳統(tǒng)行業(yè)的滲透，互聯網已經成為顯學，互聯網思維似乎也成了“攻無不克、戰(zhàn)無不勝”的終極武器。老冀同樣也非常認同互聯網思維，只是擔心在各方的鼓噪之下，傳統(tǒng)行業(yè)的朋友們又會矯枉過正，忽視了企業(yè)經營的基本面，但愿老冀的擔心是多余的。

如果希望與老冀交流互聯網思維的有關問題，請加老冀微信公眾號“it老記冀勇慶”，或者搜號碼“it-reporter”，期待您的真知灼見！

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。