今年7月23日我收到Prestashop的电邮，通知我发现安全漏洞。这是我在用的电商系统，由法国公司开发，全球约有30万商家在用。据电邮陈述，19日下午两点收到会员警惕漏洞可能存在，当晚10点，内部工程师已全面了解问题所在。

至于是什么问题，电邮也详细说明了，骇客可从漏洞注入恶意软体骑劫整个网站。20日早上报告写好，也包含解决方案，也向执法单位呈报了。26日我收到另一封电邮，说于25日已经发布补丁，修好了漏洞。整个事件前后7天完结。

且来比较一下看本地主要支付平台iPay88如何处理危机。8月11日它发的文告并未明确说何时发现问题，但于5月31日“引进网路资安专家”调查；后来补救成功，7月20日以后没再发现可疑活动。

此外，它已实行几项新措施增强资讯安全。从5月尾到7月中，iPay88耗了两个多月处理危机，拖到8月才发文告，和Prestashop的速度有天渊之别。

iPay88官网上短短的文告没有明确地解说技术问题何在，也未明言新的资安措施为何。还有一点甚是耐人寻味，为什么它需要“引进网路资安专家”协助？根据2020年11月在The Edge的赞助报道，iPay88市占率达五成，每月处理3000万笔交易，总值25亿令吉。如此看来，少说也有百万用户的金融资料在其平台来往，不是早该内聘了宇宙最强工程师吗？

我其实不太在意资安漏洞本身，小至Prestashop，大至英特尔、微软、面簿都发生过毛病，我几乎每年都会收到从不同公司发来的资安通知。软件是人写出来的，不是上帝，难免会有bug。绝大多数时候他们都透明化地火速处理，告诉用户发生什么事、该怎么应对，比如更换密码。尽管资安漏洞不应发生，但并非无可原谅。

拖延曝光叫人生气

难以原谅的是市场上有那么多好榜样可学习，iPay88还能拖延那么久才让事件曝光，消费者该生气的是这点。

至于信用卡资料泄漏倒不那么叫人害怕，因为我国信用卡过账都需要双因素认证，盗用不易。只要你有每月检查账单的习惯，若发现可疑开销可及时投诉，信用卡公司会优先保障持卡人。

这事件给我们最重要的省思是：如果在我国市占率达五成的主要支付平台资安意识只有这样，危机处理能力也只有这样 ，那么占另外五成的其他支付平台又会是什么状态呢？对他们来说这事件是当头棒喝吗？他们现在是冒着冷汗彻夜无眠地检查系统安全，还是随便地维持现状过日子？