攜程安全裂縫:誰(shuí)為用戶安全買單

攜程旅行網(wǎng)上周末發(fā)生的信用卡信息泄露事件，或?yàn)樗姓谙驘o(wú)線市場(chǎng)大舉沖刺的企業(yè)敲響了警鐘。

3月22日，漏洞報(bào)告平臺(tái)烏云網(wǎng)連續(xù)披露了兩個(gè)攜程網(wǎng)安全漏洞，漏洞發(fā)現(xiàn)者稱由于攜程開啟了用戶支付服務(wù)借口的調(diào)試功能，導(dǎo)致攜程安全支付日志可被任意還可讀取，日志可以泄露包括持卡人姓名、身份證、銀行卡類別、銀行卡號(hào)、CVV碼等信息。

攜程此前發(fā)布的官方解釋稱，安全漏洞是由于技術(shù)開發(fā)人員為了排查系統(tǒng)疑問(wèn)而留下了臨時(shí)日志，并由于疏忽未及時(shí)刪除。

另?yè)?jù)知情人士透露，這次攜程的安全漏洞，可能并不是在Web網(wǎng)頁(yè)上的漏洞導(dǎo)致，而是無(wú)線部門在手機(jī)APP產(chǎn)品調(diào)試過(guò)程中，保存了日志并在Web.config 開了目錄遍歷才出的狀況。一旦掌握了目錄遍歷，攻擊者能夠超過(guò)服務(wù)器的根目錄，從而訪問(wèn)到文件系統(tǒng)的其他部分，訪問(wèn)受限制文件或資源，或者采取更危險(xiǎn)行為。

騰訊科技就此咨詢攜程官方，但截至發(fā)稿還沒(méi)有收到相應(yīng)回復(fù)。烏云網(wǎng)聯(lián)合創(chuàng)始人孟德則告訴，漏洞雖然官方答復(fù)已經(jīng)修復(fù)，但漏洞仍處于細(xì)節(jié)保密期（45天），等到漏洞細(xì)節(jié)公開后才能看到當(dāng)時(shí)的具體情況。

業(yè)內(nèi)分析人士認(rèn)為，攜程此次用戶信息泄露事件，可能是無(wú)線研發(fā)推進(jìn)過(guò)快而變相導(dǎo)致的。攜程CEO梁建章在去年回歸后的第一個(gè)重點(diǎn)就是推出“拇指+水泥”戰(zhàn)略，將更多資源偏向移動(dòng)互聯(lián)網(wǎng)，所有最新的豐富旅游產(chǎn)品都優(yōu)先在移動(dòng)領(lǐng)域嘗試。梁建章表示，無(wú)線客戶端代表的移動(dòng)互聯(lián)網(wǎng)將是攜程突圍的一個(gè)關(guān)鍵點(diǎn)。在攜程內(nèi)部，無(wú)線業(yè)務(wù)亦被因此稱為“二次創(chuàng)業(yè)”。

在移動(dòng)互聯(lián)網(wǎng)時(shí)代，企業(yè)對(duì)速度和效率的追求相比PC時(shí)代變本加厲，這也使得和企業(yè)利益沒(méi)那么緊密的安全問(wèn)題屢屢被忽略。孟德也向騰訊科技表示，從以前烏云上報(bào)告的案例情況來(lái)看，新興的移動(dòng)產(chǎn)品開發(fā)確實(shí)要格外注意隱私安全問(wèn)題。

CVV碼暫存爭(zhēng)議：是否符合國(guó)際安全標(biāo)準(zhǔn)？

此次攜程安全漏洞的關(guān)注焦點(diǎn)，在于攜程是否違規(guī)保存了用戶的信用卡CVV/CVC碼信息。所謂CVV安全碼，即信用卡背面簽名條后7位斜體數(shù)字的末三位，是進(jìn)行網(wǎng)絡(luò)和電話交易時(shí)的安全特征，是屬于高度機(jī)密的用戶信息。

汽車之家創(chuàng)始人李想表示，“交易網(wǎng)站存CVV相當(dāng)于小時(shí)工偷偷配了你家的鑰匙，同時(shí)，他還知道關(guān)于你家所有的信息。而存儲(chǔ)了用戶信用卡的CVV，還泄漏了，前一個(gè)是企業(yè)的基本道德問(wèn)題，后一個(gè)是安全問(wèn)題?！?/p>

在離線交易模式下，只要掌握信用卡卡號(hào)、有效期、卡背上的3位CVV安全碼等便可以完成交易，整個(gè)消費(fèi)過(guò)程中不需要通過(guò)任何密碼認(rèn)證。

一位匿名的安全專家告訴騰訊科技，根據(jù)烏云提供的信息來(lái)看，攜程違反了銀聯(lián)此前禁止記錄CVC的規(guī)定，導(dǎo)致這次的事件并沒(méi)有根本上解決風(fēng)險(xiǎn)的可能。目前用戶只能通過(guò)信用卡賬單查詢，才能了解自己的銀行卡是否被盜用。

PCI SSC作為目前國(guó)際上支付卡行業(yè)最高級(jí)別的安全標(biāo)準(zhǔn)認(rèn)證，也明確禁止成員保存CVV碼，否則予以重罰。

對(duì)于此次泄露用戶CVV信息事件，攜程的官方解釋尚有兩個(gè)疑點(diǎn)。

首先，攜程為何會(huì)保留用戶的CVV信息、是否違規(guī)？攜程官方稱，在用戶授權(quán)后，攜程會(huì)保存非CVV信息，而未扣款成功的CVV信息最多會(huì)被暫存7天，目的是為了降低用戶費(fèi)力度與協(xié)助用戶便捷支付，符合PCI-DSS規(guī)定，攜程一直按照國(guó)際信用卡支付安全標(biāo)準(zhǔn)要求加密保存信用卡信息。

但值得注意的是，攜程此前一直在申請(qǐng)、卻未通過(guò)PCI認(rèn)證，我們無(wú)法通過(guò)第三方渠道獲取攜程內(nèi)部究竟是否嚴(yán)格執(zhí)行PCI規(guī)定。對(duì)于暫存7天的說(shuō)法，一位支付行業(yè)人士則表示，無(wú)論如何，PCI都不允許保留CVV，這是一條鐵律，一旦發(fā)現(xiàn)就會(huì)懲罰。

MediaV CTO 胡寧認(rèn)為，攜程可能并未故意存儲(chǔ)CVV信息，但其數(shù)據(jù)傳輸為明文，且線上長(zhǎng)時(shí)間打開調(diào)試功能，導(dǎo)致系統(tǒng)日志中亦為明文，又未及時(shí)清理，所存儲(chǔ)的服務(wù)器還有安全漏洞，導(dǎo)致一錯(cuò)再錯(cuò)。

第二，攜程的該安全漏洞究竟會(huì)影響多少用戶？

攜程官方稱，此次受影響的主要為3月21日與3月22日的部分交易客戶，93名潛在風(fēng)險(xiǎn)用戶已被通知換卡，其余攜程用戶用卡安全不受影響。

烏云網(wǎng)聯(lián)合創(chuàng)始人孟德告訴騰訊科技，攜程該漏洞存在多久、何時(shí)出現(xiàn)以及期間是否受到過(guò)攻擊造成用戶損失烏云目前還不知情。

不過(guò)，由于對(duì)潛在風(fēng)險(xiǎn)的擔(dān)憂，在微博、微信朋友圈等社交網(wǎng)絡(luò)平臺(tái)上，已經(jīng)有諸多用戶表示，其正在向銀行申請(qǐng)更換信用卡。

易搜科技有限公司CEO嚴(yán)茂軍在微博上透露，早在2月25日他曾致電攜程其綁定攜程的幾張信用卡被盜刷十幾筆外幣的事件，并懷疑是攜程漏洞造成的。

嚴(yán)茂軍告訴騰訊科技，上個(gè)月他有2張跟攜程做了綁定的雙幣信用卡被盜刷14筆（大概總共價(jià)值1萬(wàn)元），但攜程官方表示在上周末發(fā)生的話才是這件事的受害者——嚴(yán)仍然認(rèn)為自己也是漏洞受害者，但是沒(méi)有辦法證明。

“一直以來(lái)都有盜刷這個(gè)問(wèn)題，而且也存在很多的泄漏途徑，所以即使以后攜程用戶信用卡出現(xiàn)盜刷事件也很難確認(rèn)是否與該漏洞有關(guān)?！泵系聦?duì)此表示。

騰訊科技致電各大銀行信號(hào)信用卡中心，都表示還沒(méi)有收到攜程官方公告通知具體情況和應(yīng)對(duì)措施，招商銀行和民生銀行信用卡中心工作人員告訴騰訊科技，暫時(shí)不了解攜程信用卡信息泄露相關(guān)的具體信息，但是客戶如果擔(dān)心私密信息被泄露，會(huì)凍結(jié)舊卡寄送新的卡片。

此外，還有業(yè)內(nèi)人士表示，攜程為了讓自身服務(wù)達(dá)到“說(shuō)走就走”的便捷，讓用戶在電話里跟客服說(shuō)出信用卡有效期及CVV2碼等關(guān)鍵信息，也蘊(yùn)含不小的風(fēng)險(xiǎn)。當(dāng)然這種情況不僅限于攜程，許多便捷支付都存在類似的風(fēng)險(xiǎn)。

一位銀聯(lián)技術(shù)負(fù)責(zé)人告訴騰訊科技，目前支付主要有兩類，包括訂購(gòu)類業(yè)務(wù)和普通互聯(lián)網(wǎng)個(gè)人業(yè)務(wù)，其中訂購(gòu)類業(yè)務(wù)支付風(fēng)險(xiǎn)較高。

在進(jìn)行互聯(lián)網(wǎng)消費(fèi)的時(shí)候，實(shí)際上不同的業(yè)務(wù)會(huì)對(duì)消費(fèi)行為進(jìn)行不同限制。一般互聯(lián)網(wǎng)支付業(yè)務(wù)是需要用戶多種驗(yàn)證的，比如會(huì)發(fā)送驗(yàn)證碼短信，用戶需要手工輸入到頁(yè)面上完成支付，又或者通過(guò)網(wǎng)頁(yè)生成的動(dòng)態(tài)密碼完成。

但是對(duì)于攜程這類訂購(gòu)類業(yè)務(wù)的要求比較寬松，因?yàn)槠淠軌蜃粉欁罱K受益者。比如說(shuō)，用戶購(gòu)買了飛機(jī)票、火車票或者訂酒店，在最終使用的時(shí)候仍然需要身份證件作為輔助驗(yàn)證手段，所以其在支付環(huán)節(jié)只需要信用卡的CVC碼等信息就可以完成交易。

安全問(wèn)題依然是行業(yè)普遍隱患

近幾年，各種用戶信息泄露事件依然層出不窮。

2012年的CSDN泄密事件，曾引起廣泛反思，即網(wǎng)站不應(yīng)該用明文存儲(chǔ)用戶密碼信息，北京有關(guān)部門甚至還因此向CSDN網(wǎng)運(yùn)營(yíng)公司提出了具體整改要求，并做出行政警告處罰。

去年10月，烏云發(fā)布曾報(bào)告稱，如家、漢庭等大批酒店的客戶開房記錄因被第三方存儲(chǔ)和系統(tǒng)漏洞而泄露。報(bào)告中，烏云曝光了網(wǎng)上下載酒店客戶信息的過(guò)程，成功下載的客戶信息中完整記錄了入住酒店旅客的身份證、入住時(shí)間、入住的房間號(hào)碼等隱私信息。

隨著移動(dòng)互聯(lián)網(wǎng)興起，用戶包括身份、銀行財(cái)產(chǎn)等相關(guān)數(shù)據(jù)和互聯(lián)網(wǎng)應(yīng)用綁定越來(lái)越緊密，泄露風(fēng)險(xiǎn)和威脅越來(lái)越大。而企業(yè)為了提高用戶操作和消費(fèi)便利性，或者為了加快產(chǎn)品開發(fā)流程，往往忽略了安全性。

某互聯(lián)網(wǎng)上市公司負(fù)責(zé)人告訴騰訊科技，不管是App還是Wap或Web，都只是產(chǎn)品的前端表現(xiàn)形式，所調(diào)用的數(shù)據(jù)源必然只有一個(gè)。新產(chǎn)品的上線流程一般是“開發(fā)機(jī)——內(nèi)網(wǎng)測(cè)試機(jī)——發(fā)布員發(fā)布到外網(wǎng)”，每個(gè)環(huán)節(jié)都有QA測(cè)試，但在把控不嚴(yán)或追求速度的情況下，程序員會(huì)臨時(shí)去外網(wǎng)修改產(chǎn)品，這么做非常危險(xiǎn)，因?yàn)樘^(guò)了控制流程、跳過(guò)了發(fā)布員（跟產(chǎn)品開發(fā)不是一撥人），將失去對(duì)各環(huán)節(jié)和安全的控制點(diǎn)。

“現(xiàn)在便捷移動(dòng)支付前端風(fēng)險(xiǎn)主要是手機(jī)中病毒被監(jiān)聽輸入數(shù)據(jù)或者移動(dòng)信號(hào)被劫持，這個(gè)風(fēng)險(xiǎn)相對(duì)而言是容易掌控的，最大最不易掌控的風(fēng)險(xiǎn)出在企業(yè)端口，是互聯(lián)網(wǎng)級(jí)別的數(shù)據(jù)安全級(jí)別能否跟得上金融級(jí)別的數(shù)據(jù)安全的問(wèn)題?！蹦称髽I(yè)技術(shù)高管認(rèn)為。

相關(guān)閱讀：

93名用戶已安排換卡

3月23日，對(duì)于平臺(tái)漏洞致使用戶信用卡信息泄露問(wèn)題，攜程網(wǎng)發(fā)布公告，表示漏洞已經(jīng)修復(fù)，而可能存在風(fēng)險(xiǎn)的只有93名攜程用戶，已經(jīng)安排換卡。

但據(jù)銀行客服反映的信息，攜程網(wǎng)的公告安撫可能收效甚微。工商銀行某客服人員告訴 《每日經(jīng)濟(jì)新聞》記者，昨天打電話要換卡的人很多，“我自己就接了10個(gè)左右”。至于費(fèi)用方面，該客服人員表示，換卡要收取20元手續(xù)費(fèi)，馬上可以辦理。

招商銀行客服人員告訴，“沒(méi)有必要因?yàn)檫@個(gè)換卡”，并反復(fù)強(qiáng)調(diào)銀行方面已經(jīng)排查過(guò)風(fēng)險(xiǎn)，“如果確實(shí)要換，掛失費(fèi)用60元?！?/p>

某股份行信用卡部管理人員崔先生告訴記者，事實(shí)上銀行很難完全杜絕信用卡信息泄露，“我們有一個(gè)部門專門負(fù)責(zé)監(jiān)控，但沒(méi)有辦法完全杜絕，因?yàn)殂y行自己也需要這方面的信息才能完成網(wǎng)上交易，不能排除被黑客截獲破解的可能?！?/p>

銀聯(lián)資深風(fēng)險(xiǎn)專家王宇表示：“從目前披露的情況看，攜程方面可能存在一些瑕疵。我們一直在積極推動(dòng)相關(guān)機(jī)構(gòu)嚴(yán)格落實(shí)相關(guān)要求，商戶及收單機(jī)構(gòu)不能留存持卡人的敏感信息，同時(shí)也要采取多種措施提升交易環(huán)節(jié)的信息安全管理?！?/p>

　　■安全提醒

　　攜程雖然在兩個(gè)小時(shí)內(nèi)修復(fù)了漏洞，并表示目前尚未發(fā)現(xiàn)有用戶信用卡被盜刷，但為了維護(hù)信用卡的安全，以防萬(wàn)一，建議用戶尤其是3月21日、22日兩天的用戶，最好將相關(guān)信用卡凍結(jié)或掛失、更換。

　　不要外泄驗(yàn)證碼

　　根據(jù)攜程網(wǎng)的支付流程，用戶在攜程綁定信用卡后，初次使用需要提供信用卡卡種、卡號(hào)、有效期、CVV2碼（即信用卡驗(yàn)證碼）等一系列完整信息，第二次在攜程網(wǎng)使用同一張信用卡時(shí)，只需提供卡號(hào)后四位及CVV2碼就可以完成支付操作。這意味著，只要知道用戶持有的信用卡卡號(hào)和卡驗(yàn)證碼的任意一人，就可以用來(lái)消費(fèi)。因此，千萬(wàn)不要讓他人知道信用卡的驗(yàn)證碼。

　　凍結(jié)或掛失信用卡

　　新快報(bào)記者從一名銀行業(yè)人士處了解到，如果用戶擔(dān)心自己的信用卡信息遭泄露，可以通過(guò)電話進(jìn)行凍結(jié)或掛失，不過(guò)部分銀行的電話掛失屬于臨時(shí)掛失，最穩(wěn)妥的方式是電話掛失后去柜臺(tái)辦理。

　　換卡并設(shè)消費(fèi)上限

　　另外有安全人士建議，如果在一周內(nèi)使用過(guò)攜程，特別是3月21日、22日兩天的用戶，可以選擇換卡，并等待攜程進(jìn)一步公開的信息；超過(guò)一年以上未使用過(guò)攜程的用戶，信息遭泄露的風(fēng)險(xiǎn)并不大。但是如果用戶有疑問(wèn)，最好暫時(shí)申請(qǐng)凍結(jié)，如果不凍結(jié)，可以選擇開通消費(fèi)短信提醒等方式，幫助加強(qiáng)安全管理。此外，還建議用戶設(shè)置網(wǎng)銀單筆消費(fèi)額度或者上限，開通短信或者微信提醒等方式以降低風(fēng)險(xiǎn)。