携程曝“漏洞门”快捷支付隐忧再现
2014-08-29于光媚
本刊记者 | 于光媚
携程曝“漏洞门”快捷支付隐忧再现
本刊记者 | 于光媚
携程信用卡漏洞事件引起了公众对互联网信息安全的恐慌,而此次事件其实只是冰山一角。
近期闹得沸沸扬扬的“漏洞门”风波,让携程一时成为众矢之的,尤其事关“荷包”,更是不断挑动着公众的敏感神经。频频发生的信息泄露事件,让以便捷著称的互联网支付深陷危机,谁来保护消费者的信息安全?谁又将成为下一个火药桶?
3月22日晚,一个编号为54302的漏洞报告被曝光在互联网安全问题反馈平台乌云上,发布者是乌云的核心白帽子黑客“猪猪侠”。报告称,携程安全支付日志可下载,导致用户银行卡信息泄露(包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Pin)。此外,携程还被曝出某分站的源代码包可以直接下载。
事件发生两小时后,携程方面做出了相关回应:“携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。”携程还透露,经过排查,仅漏洞发现人做了测试下载,没有出现恶意下载有关数据的情况,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。
“携程客服已于3月23日通知这些用户更换信用卡,截至3月23日22:00,没有接到携程客服换卡通知的用户,个人信息均是安全的,无需担心。”携程强调。随后,携程又在其官方微博上发布了道歉声明,并称未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
擦边球“擦”过了火
然而,携程的回应并未打消用户的顾虑,同时随着更多信息的披露,携程更多的问题被曝光出来。瑞星安全专家唐威指出,携程在此次事件中犯的一个重要错误就是,擅自保存用户信用卡CVV码等信息,这明显违反了中国人民银行颁发的《银行卡收单业务管理办法》。
CVV码又叫用户识别码,是位于信用卡号后的3位数字,是银行卡进行非面对面交易时用于确认用户身份的识别码,作用类似于密码。根据中国人民银行《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。
“完成信用卡快捷支付流程,只需输入持卡人姓名、身份证号、信用卡卡号、CVV码即宣布交易成功,根本无需输入信用卡密码。”唐威说,这些是用户在交易过程中输入的,进行信用卡验证后就要删除的信息。而携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户的支付记录用文本保存了下来。
其实这种无卡无密码便可支付的信用卡支付并不少见,诸如同程网、艺龙网、芒果网等OTA(在线旅游企业)网站,使用信用卡支付时同样只需要卡号、有效期和CVV码即可。“携程们”这么做是效仿国外信用卡支付方式,简化支付流程。携程技术人士回应,“整个支付系统是漏斗结构,多一个步骤就会流失一部分客户。保存信息就是为提高转换率,增加便捷度。所有的快捷支付都如此。”但是这一做法在国内显然有打“擦边球”的嫌疑, 只不过这次携程由于自身对于数据安全较为大意,成了“倒霉蛋”。
此后,携程方面承认了违规存储CVV码一事,表示“我们将在交易完成后删除客户的CVV信息,不再保存。以前保存的那些CVV信息,正在予以删除。客户信用卡信息的传输和保存始终处于加密状态,任何未经授权的人员都无法取得这些资料。”
谁来保护用户信息安全
虽然目前看来,此次事件并未产生严重财产损失,但这场波及全国的信用卡信息泄露风波仍然让用户心有余悸。据悉,与携程合作的中国银行、中国工商银行、招商银行等十多家银行,在事件发生后客服电话几乎被打爆,咨询的业务基本均为紧急换卡或取消捆绑。
所幸这次发现携程安全漏洞的是白帽子黑客,这类黑客一般会在发现漏洞后立即向相关公司发出警报,在公司修补好漏洞后再向公众发布。若被恶意黑客发现这一漏洞,那影响绝不止于此了。
携程信用卡漏洞事件引起了公众对互联网信息安全的恐慌,而此次事件其实只是冰山一角。近年来有关信息泄露事件频频发生,2011年12月,CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。2013年10月,如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。此外,还有关于隐私泄露最出名的美国棱镜门事件等。
根据中国电子商务研究中心发布的《2013年中国网民信息安全状况研究报告》显示,74.1%的网民在过去半年时间内遇到过信息安全问题,总人数达4.38亿,全国因信息安全事件而造成的个人经济损失达到了196.3亿元;因网上购物遇到过安全问题的网民达2010.6万人,其中因网购遭遇个人信息泄露和账号密码被盗分别为42.9%、23.8%;电脑网络支付时,资金被盗、被骗和账号密码被盗的比例达32.1%。
人们在使用互联网时多少会让渡部分隐私权,但作为普通用户要靠自己的力量规避安全风险还是有点难度,根本不清楚使用的相应软件到底哪些安全、哪些有“后门”。然而并不完全可靠的监管防护,层出不穷的技术层和管理层的安全漏洞,以及无孔不入的黑客攻击,无一不在考验着网络支付的安全能力。
尤其移动互联网的迅速发展,用户的个人信息、银行信息等相关数据与互联网应用绑定的越来越紧密,随之而来的安全风险和威胁也越来越大。而商家为了提升用户体验和消费便捷度,往往对安全问题意识淡薄且心存侥幸。如何在方便和安全之间找到平衡,成为用户和商家都应思考的问题。
此次快捷支付的漏洞问题其实也映射出整个互联网金融的安全隐忧,随着互联网企业与金融业联系日益紧密,以大数据为依托的互联网金融该如何维护数据的安全与稳定,风头正劲的互联网金融是否会成为下一个“携程”?
