声誉风险不能忽略

　　可以预见LendingTree不管是在真正的法庭还是民意“法庭”上都会受到指责，Financial Insights（IDC的一个专注于财务服务产业的研究公司）的全球风险管理研究主任Dana Wiklund说道。

　　“这给LendingTree带来声誉上的风险，”Wiklund说道。不过，他补充说，这个入侵本可能会严重得多。截至目前，还没有证据表明这次对用户记录的未经授权的访问造成任何这些用户的身份被窃，或者针对这些客户的欺诈行为（尽管客户的诉状指出他们仍处在危险之中）。另外由于不知道到底有多少LendingTree的用户记录被暴露，他不认为这次事件像以往的入侵事件一样严重。

　　Wiklund说：“事实是，这些数据落到了其它的抵押贷款代理或者宣传人员的手中，这和丢失一盘写有上百万社会保险号码的磁带并发现其中的一些号码出现在国际诈骗团伙中是有天壤之别的。”他补充道，那些拿到了未经授权的访问权限的贷款代理或者放贷者大多是一两个人的小公司，他们的主要意图是想要增加自己的业务。

　　不管怎样，他总结道，LendingTree必须要回过头去，看看到底是哪里出了问题并将其纠正。

　　密码保护

　　LendingTree的雇员可以获取客户密码并将他们提供给外人，这使得Jeremy Duffy感到很迷惑，他自称为技术隐私意识的倡导者，并主持一个在线的讨论会“服务大众的计算机和因特网安全”。Duffy很难相信公司的雇员可以访问哪怕他们自己的用户的密码。

　　需要确认的是密码是否被加密了。如果它们被加密过了，Duffy说，“那就几乎不可能有什么人能知道确切的密码内容，就算他们有直接访问数据库的能力也无济于事。”如果它们没有加密，而是以明文保存。“那就造成所有能够访问数据库的人都能看到客户的密码，这是个严重的安全问题。”

　　Duffy建议做一个简单的实验。如果一个用户在登录页面点击了那个“丢失密码”按钮，网站就给他们发送一封带有他们设置的密码的email，那么密码多半是以明文存储的。如果它发回的是一个随机生成的密码，允许用户登入并重新设置密码，那它就可能是加了密的。

　　LendingTree在公司网站上登出的隐私政策说公司使用“知名并审核过的安全技术。”用户输入个人信息的网页是通过HTTPS传送到客户的浏览器的，这是一种安全的服务器通信协议。浏览器和LendingTree的服务器之间的传输使用SSL（Secure Sockets Layer ──安全套接字层）技术进行加密。

　　不过隐私政策的开始有一句很有深意的警告：“无法保证在Internet上的数据传输或者信息存储技术是100%安全的。”