2014-03-24 01:14:13
3月22日18時18分,漏洞報告平臺烏云(WooYun)曝光攜程支付日志存在安全漏洞。恰逢傳統(tǒng)金融業(yè)與互聯(lián)網(wǎng)金融激烈博弈之際,事件也再次拷問了網(wǎng)絡支付的安全問題。
每經(jīng)編輯 每經(jīng)記者 夏冰、楊玨軒、陶力發(fā)自上海、廣州
每經(jīng)記者 夏冰、楊玨軒、陶力發(fā)自上海、廣州
3月22日18時18分,漏洞報告平臺烏云(WooYun)曝光攜程支付日志存在安全漏洞。恰逢傳統(tǒng)金融業(yè)與互聯(lián)網(wǎng)金融激烈博弈之際,事件也再次拷問了網(wǎng)絡支付的安全問題。
攜程方面針對此事給用戶造成的困擾發(fā)表致歉。攜程網(wǎng)在給《每日經(jīng)濟新聞》的回復中稱,“3月22日晚已展開技術排查并在消息發(fā)布兩小時內(nèi)修復問題。93名潛在風險用戶已被通知換卡,其余攜程用戶用卡安全不受影響。事件發(fā)生后,攜程同各大銀行均取得聯(lián)系,經(jīng)核實,目前也沒有出現(xiàn)用戶信用卡被盜刷的情況。攜程鄭重承諾,未來,倘若發(fā)生安全漏洞并引起用戶損失,攜程將給予全額賠付。”
然而,事件的影響并未平息。有銀行客服反映稱,攜程網(wǎng)的公告安撫可能收效甚微,工商銀行某客服人員告訴記者,昨天(3月23日)打電話要換卡的人很多,“我自己就接了10個左右”。
違反“禁止記錄CVV”規(guī)定?
根據(jù)烏云的報告,漏洞泄露的信息包括用戶持卡人的姓名、身份證號、銀行卡類別、銀行卡號、銀行卡CVV碼(即由卡號、有效期和服務約束代碼生成的3位或4位數(shù)字),以及銀行卡6位Bin(用于支付的6位數(shù)字)。也就是說,黑客若有了這一套信息,就能盜用用戶賬戶。事件發(fā)生當晚,攜程方面確認了這一“安全漏洞”的存在。
針對烏云的爆料,質(zhì)疑聲轉向了 “攜程違反了銀聯(lián)此前禁止記錄CVV的規(guī)定”。據(jù)記者了解,CVV即銀行信用卡背后的三位驗證碼,在“無卡支付”環(huán)節(jié),只需提供卡號及此三位驗證碼就可完成支付。
“攜程在事件中有責任,信用卡CVV碼不應該保存在本地平臺。攜程在付款過程中需要記錄并轉發(fā)給銀行接口用戶信息,但是記錄日志,破壞了支付安全性。”旅游界資深人士愛游觀察負責人鄭榮鋒向記者表示,相信此次事件對攜程的品牌和信譽度已經(jīng)造成影響,特別是長期以來對攜程服務有依賴性的商旅客戶。
作為敏感的隱私泄密事件,這次事故在微博和微信等社交平臺產(chǎn)生了大量的轉發(fā)傳播。尤其近期傳言國家將對互聯(lián)網(wǎng)金融的發(fā)展作出限制,這次事件對于“支付寶們”不是好消息。
勁旅咨詢CEO魏長仁亦分析指出,“這個事件肯定會影響消費者對攜程的信任度。因為現(xiàn)在基本全部的機票款,部分酒店,旅游度假和其他更多類型產(chǎn)品都需要在線支付。這個事件一定會促使攜程對用戶信息安全問題更加重視。”
拷問OTA支付安全難題
“在線旅游行業(yè)應該是國內(nèi)最早在機票、酒店領域?qū)崿F(xiàn)信用卡預授權的行業(yè),在支付寶和微信支付未流行起來之前,攜程和藝龍作為在線旅游行業(yè)的代表,已經(jīng)將線上支付通過信用卡的模式普及得非常優(yōu)秀了。很多高端商旅用戶都是因為攜程和藝龍上具有便捷的信用卡支付功能,而使用它們的服務。事件會對這部分商旅用戶群體產(chǎn)生比較大的影響。”鄭榮鋒指出。
在線旅游行業(yè)一資深合伙人向《每日經(jīng)濟新聞》記者透露,“實際上,OTA們對信息的安全是非常重視的,在我的觀察里,不管是攜程、去哪兒網(wǎng)還是藝龍,他們在數(shù)據(jù)保密方面還是做得很好的。”
“現(xiàn)在攜程方面曝出用戶(隱私)的泄露,也會對其他電子商務平臺起到警示作用。OTA們應該迅速自查,避免類似的事件再次發(fā)生,影響消費者權益。”魏長仁說。
記者了解到,近年隨著移動網(wǎng)絡的發(fā)展、互聯(lián)網(wǎng)理財產(chǎn)品的風靡,平板電腦、智能手機等手持終端設備的普及,新型移動支付領域也成了釣魚軟件、黑客等的覬覦之地。CNNIC最新數(shù)據(jù)顯示,2013年因網(wǎng)上支付發(fā)生安全問題的網(wǎng)民數(shù)占整體上網(wǎng)人數(shù)的4.0%,影響人數(shù)達2010.6萬人。其中,個人信息泄露比例達42.9%,賬號密碼被盜比例達23.8%。
層出不窮的新型騙術、花樣翻新的黑客木馬,無一不在拷問著網(wǎng)絡支付安全問題。“創(chuàng)新永遠伴隨著風險,相關機構應提高自身安全技術業(yè)務;同時,希望更多宣傳和普及用戶安全意識教育。希望有更多國際知名信息安全認證機構一起保障用戶的個人信息安全。這個過程就猶如監(jiān)管和檢查食品安全一樣。”華美酒店顧問有限公司首席知識管理專家趙煥焱強調(diào)。
93名用戶已安排換卡
3月23日,對于平臺漏洞致使用戶信用卡信息泄露問題,攜程網(wǎng)發(fā)布公告,表示漏洞已經(jīng)修復,而可能存在風險的只有93名攜程用戶,已經(jīng)安排換卡。
但據(jù)銀行客服反映的信息,攜程網(wǎng)的公告安撫可能收效甚微。工商銀行某客服人員告訴 《每日經(jīng)濟新聞》記者,昨天打電話要換卡的人很多,“我自己就接了10個左右”。至于費用方面,該客服人員表示,換卡要收取20元手續(xù)費,馬上可以辦理。
招商銀行客服人員告訴記者,“沒有必要因為這個換卡”,并反復強調(diào)銀行方面已經(jīng)排查過風險,“如果確實要換,掛失費用60元。”
某股份行信用卡部管理人員崔先生告訴記者,事實上銀行很難完全杜絕信用卡信息泄露,“我們有一個部門專門負責監(jiān)控,但沒有辦法完全杜絕,因為銀行自己也需要這方面的信息才能完成網(wǎng)上交易,不能排除被黑客截獲破解的可能。”
銀聯(lián)資深風險專家王宇表示:“從目前披露的情況看,攜程方面可能存在一些瑕疵。我們一直在積極推動相關機構嚴格落實相關要求,商戶及收單機構不能留存持卡人的敏感信息,同時也要采取多種措施提升交易環(huán)節(jié)的信息安全管理。”
大數(shù)據(jù)安全蒙陰影
盡管其他網(wǎng)站并未暴露與攜程網(wǎng)一樣的風險,但大數(shù)據(jù)時代的網(wǎng)絡信息安全還是受到拷問。
此前,包括當當網(wǎng)、亞馬遜、京東商城、7天酒店在內(nèi)的多家網(wǎng)站也曾爆出用戶個人信息遭泄露的報告,但是個人信息與信用卡信息相比,攜程網(wǎng)的紕漏顯然更為嚴重。
安全專家舉例說明,黑客可以通過用戶的手機號碼、銀行卡號和CVV注冊第三方支付賬號,從而跳過用戶和銀行綁定的手機,進行盜刷,“這些數(shù)據(jù)可以用來創(chuàng)建或關聯(lián)第三方支付,國內(nèi)第三方支付公司多達幾百家,可以利用的點很多。受害者可能隨時出現(xiàn)資金被盜。”
對此,攜程網(wǎng)人士解釋稱,這是攜程旅行網(wǎng)在技術調(diào)試過程中,出現(xiàn)了短時漏洞。“除漏洞發(fā)現(xiàn)人做了少量的測試下載并已全部刪除外,沒有出現(xiàn)惡意下載有關數(shù)據(jù)的情況,用戶在攜程的交易仍舊是安全的,用戶信息沒有受到影響。”
MediaVCTO、原Google技術總監(jiān)胡寧分析,可能攜程并未故意存儲CVV信息,但其數(shù)據(jù)傳輸為明文,且線上竟長時間打開調(diào)試功能,導致系統(tǒng)日志中亦為明文,又未及時清理,所存儲的服務器還有安全漏洞。一步錯,步步錯,“用戶信用卡信息泄露,并非犯低級技術錯誤這么簡單。敏感信息需加密存儲、線上開調(diào)試功能需慎重、系統(tǒng)日志要及時清理、服務器安全性要達標,這都是常識。”胡寧說。
據(jù)悉,攜程已建立安全應急響應中心,并設立了信息安全獎勵基金,獎勵為攜程找出漏洞的信息安全衛(wèi)士。此事也給當前火熱的網(wǎng)絡支付以及大數(shù)據(jù)安全蒙上陰影。
如需轉載請與《每日經(jīng)濟新聞》報社聯(lián)系。
未經(jīng)《每日經(jīng)濟新聞》報社授權,嚴禁轉載或鏡像,違者必究。
讀者熱線:4008890008
特別提醒:如果我們使用了您的圖片,請作者與本站聯(lián)系索取稿酬。如您不希望作品出現(xiàn)在本站,可聯(lián)系我們要求撤下您的作品。
歡迎關注每日經(jīng)濟新聞APP