被骇难免,关键是如何应对
今年7月23日我收到Prestashop的电邮,通知我发现安全漏洞。这是我在用的电商系统,由法国公司开发,全球约有30万商家在用。据电邮陈述,19日下午两点收到会员警惕漏洞可能存在,当晚十点内部工程师已全面了解问题所在。
至于是什么问题,电邮也详细说明了,骇客可从漏洞注入恶意软体骑劫整个网站。20日早上报告写好,也包含解决方案,也向执法单位呈报了。26日我收到另一封电邮说于25日已经发布补丁,修好了漏洞。整个事件前后七天完结。
且来比较一下看本地主要支付平台iPay88如何处理危机。8月11日它发的文告并未明确说何时发现问题,但于5月31日“引进网路资安专家”调查;后来补救成功,7月20日以后没再发现可疑活动。此外,它已实行几项新措施增强资讯安全。从五月尾到七月中,iPay88耗了两个多月处理危机,拖到八月才发文告,和Prestashop的速度有天渊之别。
iPay88官网上短短的文告没有明确地解说技术问题何在,也未明言新的资安措施为何。还有一点甚是耐人寻味,为什么它需要“引进网路资安专家”协助?根据2020年11月在The Edge的赞助报导,iPay88市占率达五成,每月处理3千万笔交易,总值25亿令吉。如此看来,少说也有百万用户的金融资料在其平台来往,不是早该内聘了宇宙最强工程师吗?
我其实不太在意资安漏洞本身,小至Prestashop,大至英代尔、微软、脸书都发生过毛病,我几乎每年都会收到从不同公司发来的资安通知。软件是人写出来的,不是上帝,难免会有bug。绝大多数时候他们都透明化地火速处理,告诉用户发生什么事、该怎么应对,比如更换密码。尽管资安漏洞不应发生,但并非无可原谅。
难以原谅的是市场上有那么多好榜样可学习,iPay88还能拖延那么久才让事件曝光,消费者该生气的是这点。至于信用卡资料泄漏倒不那么叫人害怕,因为我国信用卡过账都需要双因素认证,盗用不易。只要你有每月检查账单的习惯,若发现可疑开销可及时投诉,信用卡公司会优先保障持卡人。
这事件给我们最重要的省思是:如果在我国市占率达五成的主要支付平台资安意识只有这样,危机处理能力也只有这样 ,那么占另外五成的其他支付平台又会是什么状态呢?对他们来说这事件是当头棒喝吗?他们现在是冒着冷汗彻夜无眠地检查系统安全,还是cincai着维持现状过日子?
2022.08刊于南洋