信用卡数据泄露引发恐慌

一个银行支付的安全漏洞，最终触发了一场全民性的“安全”危机。

3月22日，颇具影响力的安全漏洞报告平台乌云发布消息称，携程旅行网支付日志存在漏洞。携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，包括持卡人姓名身份证、银行卡号、CVV码、6位卡Bin（用于验证支付信息的6位数字）等信息都有可能被任意骇客读取。

所谓CVV安全码即是信用卡背面签名条后7位斜体数字的末三位，是进行网络和电话交易时的安全特征。若信用卡无卡支付，用户只需提供卡号及此三位验证码，就可完成支付。根据携程和乌云公布的资料来看，如果黑客发现了漏洞，获得支付日志，就可以利用获得的卡号和CVV码在网上购物了。除了盗刷之外，还可能利用这些信息创建第三方支付帐号，绑定信用卡实现境外购物。

虽然携程表示已在事发2小时后修复漏洞，并表示仅仅涉及93名存在潜在风险的携程用户。截至目前，未发生携程用户信用卡被盗刷的情况。可是此事件触发了大众对信用卡网上支付安全的恐慌。

携程网储存这些信用卡信息的初衷是为了方便客户交易。和多家在线旅游服务提供商一样，“常用卡服务”的做法在业内较为常见，即为用户的该张信用卡如果是首次在某网站使用，在支付生效前需要客户提供全部的信用卡授权所需信息。同时为了方便下次预订，客户可同意该网站保留其信用卡卡号和有效期等信息，在其下次预订时只需提供所存信用卡的卡号后4位，该网站就可根据其当初保留在系统中的信用卡授权信息，执行支付步骤。比如在进行舱位变更的时候，不需要每次更改信息都要求用户重复输入CVV码，方便客户交易。可是这种存留信息的方式，必须要将信息进行绝对的保护，否则就是风险隐患所在。

携程网暴露出的安全漏洞并非孤例。网络正融入人们的日常生活，用户包括身份、银行卡等信息和互联网应用绑定越来越紧密，而企业为了提高用户操作和消费的便捷性，或者为了加快产品开发流程，往往忽略了互联网应用的安全性。

去年12月，中国互联网络信息中心发布的《2013年中国网民信息安全状况研究报告》显示，我国网络信息安全环境整体上不容乐观，有74.1%的网民在此前半年，遇到过安全问题，影响总人数达到了4.38亿。

层出不穷的网络信息安全事件，不仅直接影响广大网民的上网体验，而且关系到互联网金融行业的健康发展。这是一个亟待解决的重大网络安全问题，此次携程网事件理应成为一次“亡羊补牢”的契机，所有互联网企业都应该借机排查安全隐患。否则，下一次就可能不只是虚惊一场了。

央行叫停虚拟信用卡

无独有偶，与携程信用卡数据泄露事件发生之前，央行刚刚叫停虚拟信用卡。央行官员对此的态度是，此次暂停相关业务是出于目前法律体系下风险防控的监管要求。

3月初，阿里巴巴宣布推出一款新的信用卡，该“虚拟”信用卡将在“支付宝钱包”的应用内亮相。阿里巴巴表示，该卡的实际运营方将是中信银行，但申请人的信用可靠性将首次纯粹基于消费者的在线购物记录。

阿里巴巴宣布推出信用卡还不到24小时，腾讯表示也将通过微信推出自己的信用卡，最高信贷额度为5000元人民币。腾讯新推信用卡的运营方也为中信银行，但与阿里巴巴的信用卡不同的是，中信银行将以传统的信用审查方式对腾讯的信用卡进行发卡审批。

就在阿里巴巴和腾讯推出虚拟信用卡刚刚2天，中国央行暂时叫停了此类业务。

“所谓的虚拟信用卡，利用了互联网技术、大数据等这些新的技术，使办卡的流程大大简化了，但是这种简化和目前我们账户管理实名制以及反洗钱的一些有关要求是有明显冲突的，为了防范这种法律风险，我们及时提出了监管的意见。”中国人民银行支付结算司副司长樊爽文接收记者采访时表示。

中国人民银行支付结算司于3月14日向杭州中心支行支付结算处紧急下发了《关于暂停支付宝公司线下条码（二维码）支付等业务意见的函》（下称“《函》”），暂停了支付宝公司新近推出的线下条码（二维码）支付、虚拟信用卡两项创新业务。

关于虚拟信用卡，《函》的原文是：“在落实客户身份识别义务、保障客户信息安全等方面尚待进一步研究。”在线申请并一分钟核卡是虚拟信用卡的最大卖点，而这一点却直接违反现行法律规定。

《商业银行信用卡业务监督管理办法》第四十三条规定：“对首次申请本行信用卡的客户，不得采取全程系统自动发卡方式核发信用卡。”另外，信用卡发卡环节要做到亲访（电话也算亲访）亲签，“亲签是指发卡银行柜面受理人员或营销人员要亲自见到申请人本人签名”。

很显然，全程通过网络核发信用卡无法做到亲签。另外，根据有关规定，信用卡的发卡主体只能是商业银行，支付宝公司只是与商业银行开展合作，为其提供潜在客户与交易流水数据，因此，《函》直接针对支付宝似乎并不合理，而“暂停商业银行与支付宝公司等合作发行信用卡”的措辞更贴切些。

由于虚拟信用卡的细节并未详细披露，仅从媒体和相关公司披露的信息来看，虚拟信用卡与传统信用卡的变革之处主要在于两点：首先，核发环节实现快速自动化，但却违背现有法规；其次，覆盖了原先达不到信用卡服务门槛的人群，最大限度体现了互联网金融的核心价值。至于基于客户历史交易流水做出信用分析（大数据）、引入保险（放心保）、网上消费这些市场上炒作的所谓新功能，其实现有信用卡均已具备（或很容易具备），不是真正的创新点。

银联风险专家表示，支付宝条码支付的本质就是借助二维码等条码技术将线下刷卡支付转换为线上交易，将低风险交易转为高风险交易。条码支付设备与POS专用设备相比，缺乏起码的交易信息技术保障，也未经过任何专业的安全认证。支付过程中无法保障交易账户和订单的安全性，无法体现真实交易场景的基本要求。从日常监测来看，这类支付的风险问题日益严重，容易引发系统性风险，一旦风险发生，还无法追查。对于银联干预央行决策的传闻，中国银联给予了明确否认。

互联网金融监管仍是大方向

虽然业内种种分析认为，互联网信用卡被叫停安全问题只是其中一小部分原因。但是从目前国内互联网金融的发展来看，安全问题确实需要重视。

中国支付清算协会副会长蔡洪波在出席中国支付体系发展高层论坛时就表示，对于目前被央行暂时叫停的虚拟信用卡和二维码支付业务，“下一步要对其安全体系进行建立，然后达标，再来推广这个应用，我觉得还是有可能这么做的。”

而央行方面也表示，此前被叫停的虚拟信用卡和二维码支付将在第三方认证安全后放行。

业内分析人士认为，从客户支付安全的角度出发，央行的担忧其实并非多余。纵观国内近两年互联网金融的发展，通过第三方支付和互联网支付形式被诈骗财产的大有人在。

在今年年初，360手机安全专家就曾揭秘二维码吸费的真相。用户在搜二维码的同时会在不知情的情况下安装手机木马从而造成财产损失。

而在本月，360发布的国内首个移动支付安全报告中也提及，目前移动支付面临着巨大的安全隐患。购物及支付类木马往往会使用一些最新的攻击技术和攻击方法，防范难度较大。这些木马还会伪装成各种不同的应用，诱骗用户下载安装。与此同时，诈骗短信、手机丢失成为移动支付安全的严重威胁之一，二维码木马钓鱼诈骗和电子密码器升级诈骗等则是目前针对移动支付流行的典型网络骗术。

纵观国际金融支付领域的现状，支付系统的安全风险是目前国际金融都需要解决的一大问题。尤其是在信用业务和支付系统上，由于涉及的主体多为普通人，不确定性很大，一旦出现漏洞将会对金融系统带来巨大冲击。

从目前来看，国内对于互联网金融的法规监管相对缺失。业内人士认为，应尽快完善互联网金融监管体系，推动建立互联网金融消费者权益保护的法律制度框架。

（本刊记者综合整理）endprint