作者存档：admin

国内领先的在线旅行网站——去哪儿网，是沃通多年的老客户。作为在线旅游行业的领军企业，去哪儿网一直非常关注网站的信息安全建设，不仅自主建立了去哪儿安全应急响应中心，建立首个保障用户交易安全体系“担保通”，而且一直使用沃通的SSL证书保障用户隐私数据的传输安全。 去哪儿网的负责人称，“过去许多用户不敢使用在线网站消费，最重要的原因是没有安全保障。网络上充斥大量的钓鱼网站，让消费者无端蒙受损失。去哪儿网从消费者的根本利益出发，力求保障消费者的权益。”使用SSL证书后，很好的解决了消费者在线交易的安全和信任问题，网站通过https加密传输数据，浏览器显示安全锁标识，点击安全锁可以查看权威认证的网站真实身份，安全可信一目了然！ 近日，因去哪儿网急需签发证书，需在当天拿到证书并成功安装，沃通客户服务部门快速响应，调动了相关部门资源，顺利为客户解决了问题。为此去哪儿网相关负责人特地致信感谢，表示“沃通客户服务人员，急客户所急，想客户所想，将客户第一体现在具体工作中，完美解决了我们的问题。” 用心服务好每一位客户，是沃通客户服务工作最基本的要求，而因此获得客户的赞许是沃通意料之外的事。客户的认可让沃通人更加积极的投入到自己的本职工作中，力求为客户提供更加满意、快捷的服务。

针对非常严峻的OpenSSL心血漏洞，我国安全专家和国外的安全专家都指出：此漏洞不仅能窃取网站的机密数据，而且还可以把服务器上的SSL证书私钥也偷走！这将是灾难性的结果！   为了帮忙所有已经部署了SSL证书的网站免除加密证书被窃的后患，沃通作为中国唯一一家能完全取代国外证书的有合法牌照的CA，在此承诺：无论您的网站部署的是那家CA签发的SSL证书，我们都免费提供10分钟就拿到证书的紧急替换服务！   您只需花2分钟注册就可以在线申请各种安全级别的证书，包括最高安全级别的显示绿色地址栏的EV证书，当然也有完全免费的一年有效期的全球信任的免费SSL证书。如果是收费证书，我们可以给予紧急情况一个月帐期优待，先拿证书救急，后付款。   在线证书申请网址：https://buy.wosign.com, 支援热线：0755-86008688   请点击 这里 了解沃通证书与国外品牌证书的优势对比！我们的吊销列表查询比国外证书快10倍以上。   特别说明：沃通(WoSign) SSL证书产品非常安全，OpenSSL漏洞与SSL证书产品质量无关。   沃通强烈建议所有部署了SSL证书的网站，先检查网站是否有此漏洞，再升级和更新证书。具体步骤如下： (1) 检测漏洞：http://wangzhan.360.cn/heartbleed/ (2) 升级版本：如果检测出有漏洞，可升级到的OpenSSL1.0.1g版本。如果用户不能立即升级，也可以使用-DOPENSSL_NO_HEARTBEATS重新编译。1.0.2的问题将在1.0.2-beta2版本得到修复。 更新SSL证书：您服务器上的SSL证书密钥极有可能已经被窃，为确保SSL证书私钥安全，建议申请重新颁发新的 SSL 证书（新密钥），安装在受到影响的服务器上，然后要求吊销可能被窃的原SSL证书。

自OpenSSL心血漏洞爆发以来，全球有四分之一的服务器受此漏洞影响，受影响的网民约达2亿人次。用户服务器的证书私钥、用户名、用户密码、用户邮箱等敏感信息均有严重泄露风险。据360网站卫士的分析表示，心血漏洞的辐射范围已经从开启HTTPS的网站延伸到了VPN系统和邮件系统。 该漏洞爆发后，沃通（WoSign）第一时间通知用户修复该漏洞，并提供技术支持，充分体现了沃通CA即时响应的本地化服务的优势。此外，沃通还承诺为所有部署了SSL证书的网站，提供SSL证书替换支援，免费颁发新的SSL证书，替换原SSL证书，给一些不能及时得到技术支持的用户救急，规避了用户没有及时替换新证书造成的网站数据泄露。 仅1周时间，沃通服务技术中心已经为约180位用户提供OpenSSL技术咨询服务，并为其中的35位用户提供了技术支持和紧急替换服务。该活动仍持续进行中，如有相关支持需求，立即拨打沃通支援热线0755-86008688，或访问https://buy.wosign.com获取支持。

继“酒店开房信息遭泄露”、“浏览器泄露用户隐私”等事件之后，“携程”又被爆有泄露用户银行卡信息风险。对此，携程方面称是公司在技术调试过程中出现短时漏洞。不过，业内专家则表示，并非低级技术错误这么简单，“存储了用户信用卡的CVV码，还泄露了，前一个是企业的基本道德问题，后一个是安全问题”。 　　漏洞报告平台乌云网22日公告指出携程安全支付日志可下载，导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码等)，有可能被黑客所读取。昨日携程方面承认是公司在技术调试过程中出现短时漏洞，目前没有出现恶意下载有关数据和用户信用卡被盗刷的情况，承诺未来倘若发生安全漏洞并引起用户损失，携程将给予全额赔付。 　　记者调查也发现，携程违规超范围存储用户信用卡信息，而为了“征得”用户同意，部分网站则是以“常用卡”为名征存储用户的信息。有业内人士则指出，并非是低级技术错误这么简单，携程系统一直就能看到用户信息，虽然屏蔽了卡号却显示有效期和CVN2等信息。该事件也将令携程股价承压。 　　据了解，乌云网指出携程安全支付日志可下载，导致包含持卡人姓名身份证、银行卡号、卡CVV码等大量用户银行卡信息泄露，还被爆某分站源代码包可直接下载，涉及数据库配置和支付接口信息。 　　在该漏洞被爆出后，昨日有携程用户表示，为了以防万一对信用卡做了挂失处理，部分用户则是直接选择更换了卡片。携程方面表示，漏洞发现人做了测试下载，内容含有少量加密卡号信息，共涉及93名存在潜在风险的用户，目前已经全部删除。公司客服昨日开始通知用户更换信用卡。 　　携程方面承认，在技术调试过程中出现了短时漏洞，该漏洞受影响的用户为近期的部分交易客户，但经过排查没有出现恶意下载有关数据的情况。有分析指出，系统漏洞发生在21日和22日，在这两日使用信用卡支付的消费者可能存在风险。 　　事件发生后携程已经和各大银行联系核实，目前还没有出现用户信用卡被盗刷的情况。 　　“我们正在联合携程和各商业银行共同研究进一步解决措施。”银联资深风险专家王宇表示。 　　卡CVV码，是印在信用卡卡片上的一组检查码，用来验证信用卡，根据不同类型的卡而印于卡的正面或背面，对于银联组织的银联标准卡使用的称为CVN2。 　　质疑一： 　　并非低级技术 　　错误这么简单 　　对携程的解释，原Google技术总监胡宁认为，用户信用卡信息泄露并非犯低级技术错误这么简单，敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理，这都是常识。 　　乌云方面透露称，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器，同时因为保存支付日志的服务器未做严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。 　　有业内人士表示，问题是出在他们想把银行发出的验证信息都直接保存到本地。胡宁认为，根据事故报告,携程可能并未故意存储CVV信息，但其数据传输为明文，且线上竟长时间打开调试功能，导致系统日志中亦为明文，又未及时清理，所存储的服务器还有安全漏洞，一步错，步步错。 　　质疑二： 　　超范围保留用户信用卡信息 　　有业内人士爆料称，在该漏洞爆出前携程系统里就已经能看到用户信息，虽然屏蔽了卡号却显示有效期和CVN2，“银联相关标准严格要求商户系统不得以任何方式存储这些银联卡片敏感信息，有了这些数据，可以轻易伪造在线支付交易，客户敏感信息和交易安全从何保证”。 　　对此，昨日携程方面回应称，公司对CVV的处理符合行规，与国内外主流电商网站相符，所留存的用户支付信息是经用户授权后保存的，利于用户日后的支付便捷，如果用户没有授权，携程将不予保存。 　　根据中国银联风险管理委员会发布的《银联卡收单机构账户信息安全管理标准》，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码（PIN）及卡片有效期。由此可见，携程日志中存储的信息明显超过该标准的允许范围。汽车之家创始人李想则表示，“存储了用户信用卡的CVV，还泄露了，前一个是企业的基本道德问题，后一个是安全问题”。 　 　　质疑三： 　　以“常用卡”的名义存储用户信息 　　昨日，一家在线旅游网站人士表示，不少网站都会让用户勾选保留常用卡信息，消费者初次使用的时候需提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息，然后提交支付，但第二次使用这张信用卡时，只需提供卡号后四位及CVV2码就会完成这次支付操作，这也变相证明了是在本地存储了用户的相关信用卡的信息。 　　记者登录携程也发现，在用户选择银行卡支付后，会提示用户是否保存至常用信用卡以便下次方便支付，但携程并未提示会记录信用卡的相关信息。 　　有业内人士表示，知道了CVV码和信用卡卡号就差不多能进行离线支付，泄露后风险很大，而且这种操作也会被银行视作是持卡人本人操作，部分盗取信息的人也可以用来注册购买其他产品服务。　　 　　多家银行表示 　　免费补办新卡 　　昨日，记者以顾客身份咨询多家银行的客服热线获悉，因携程事件而需要更换卡片的用户，多家银行均免费补办新卡。 　　招行客服人员表示：“如果是因为担心携程支付日志泄露的，我们可以免费补办卡。”据了解，该行如果办理卡片挂失补办信用卡的，收费是60元；如果是损坏补办的，收费是15元。该客服还表示，根据携程公布，目前有可能受影响的是3月21日与3月22日两天有交易的，“如果不是这两天消费的，是不用担心的，不会受影响。”客服说。 　　建行的客服人员也表示，如果是因为担心携程漏洞的，可以免费补寄新卡。 　　某银行相关负责人告诉记者，“此次信息泄漏是电商支付系统问题，涉事消费者最好、最安全的办法就是更换新卡。” 　　目前，银行业尚未发现用户信用卡被盗刷的情况。 　　消费提醒 　　昨日多家银行客服建议消费者可以考虑换卡或者冻结，近日在携程上使用信用卡交易过的有风险。部分消费者不愿意更换信用卡，应尽快修改相关银行卡密码等信息，出现异常应尽快联系银行、公司的官方客服电话。也应该设置网银单笔消费额度，开通短信提醒等以降低风险。用户信息被泄露后除了对财产安全造成影响外，消费者还需提防相关的诈骗短信。

日前Heartbleed官网(http://heartbleed.com/)发布了关于CVE-2014-0160 漏洞的详细信息，这是关于 OpenSSL“心脏出血”漏洞导致信息泄漏的安全问题。该漏洞可以让互联网上的任何人读取受保护的系统内存，导致用于识别服务提供者和加密数据的密钥、用户名密码以及实际内容泄露。这允许攻击者窃听通讯，直接从服务提供者和用户窃取数据，并可以模拟服务提供者和用户。只有1.0.1和1.0.2-beta版本的OpenSSL受到影响，包括1.0.1f和1.0.2-beta1。 目前该问题已经有了解决的方法，受影响的用户可升级到的OpenSSL1.0.1g版本。如果用户不能立即升级，也可以使用-DOPENSSL_NO_HEARTBEATS重新编译OpenSSL的。1.0.2的问题将在1.0.2-beta2版本得到修复。 请SSL证书用户根据以上建议,尽快修复该漏洞。   OpenSSL漏洞检查工具： http://filippo.io/Heartbleed/ http://wangzhan.360.cn/heartbleed/