受信用卡信息泄密事件影响,今天携程盘前大跌11%。另外有朋友提醒我携程并没有通过PCIDSS,我没有去求证这件事情了。有读者觉得我昨天的文章有为携程开脱的意思,我个人觉得我写的已经比较中立了。因此我估计另一个评论携程事件的安全专家余弦的微信后台肯定很精彩,因为他昨天写了篇同情携程的文章,估计要被喷上天了。
对于我昨天文中提到的:
「但除非你以后不再用网上信用卡支付了,否则类似的问题短期内还是很难避免。我相信还有很多公司比携程做的更糟糕,更缺乏规范,特别是一些还没有上市,没有通过PCI-DSS认证的公司,只是这些问题没有被暴露在阳光下,因此你不知道而已。」
有些朋友对此感到不解,而且也搞不清楚到底要不要换卡。借用在我知乎上一位读者的回复,对这段话的解读是:「你换了也一样沦陷,所以淡定点。」。总之,我是比较悲观。
也许有朋友会觉得我危言耸听,但哪天我去某个地下论坛给你们截一张各大网站核心数据库交易的图就明白了。另外还可以提到的一点是,国内有很多做渗透测试的团队,有些是合法的,比如一些安全公司,有些是非法的。比较牛B的团队渗透的成功率是100%(一般是军用或职业黑产),一点都不夸张。目前我公司为了检测客户网站安全也开展类似业务,但成功率只有80%左右,都不好意思说出口。这背后的含义是,任意一个网站,你随便挑一个啊,丢给我们,我们有八成的把握能进去拿到数据。
世界这么黑暗,我们还要不要活了?照我说,该怎么活就怎么活。这个世界上确实有核武器,但丢到你头上的概率就很小了。如果你资产真的很多,那是要花点心思好好保护一下,但如果资产不多,坏人也不会费那劲专门针对你。
至少我从不用杀毒软件,信用卡不设密码,去东南亚回来也不换卡,该怎么用就怎么用,至今也没出过事。平时上网多留个心眼,别乱点一些陌生人发来的文件,少上些色情、赌博站或装些他们的客户端,别贪小便宜,很少会出事。
至于互联网安全,我认为已经彻底糜烂了,在未来几年可能会面临非常大的挑战。原因是密码已经非常不可靠了,而且用户的隐私数据基本该泄露的都泄露了,这些影响在未来几年会触动整个互联网安全的基石,目前没有很好的解决办法。有机会未来我再多写写这方面的话题。
我认为没有哪个网站不会被黑,只是看你是否是那最后被黑的一个。
未来几年的安全,会从如何围追堵截黑客,发展到如何适度容忍黑客的入侵行为,将损失降低到最小。