3月22日18時(shí)18分,漏洞報(bào)告平臺(tái)烏云(WooYun)曝光攜程支付日志存在安全漏洞。招商銀行客服人員告訴記者,“沒(méi)有必要因?yàn)檫@個(gè)換卡”,并反復(fù)強(qiáng)調(diào)銀行方面已經(jīng)排查過(guò)風(fēng)險(xiǎn),“如果確實(shí)要換,掛失費(fèi)用60元。
每經(jīng)記者夏冰、楊玨軒、陶力發(fā)自上海、廣州
工商銀行3.38+0.041.20%招商銀行9.81-0.03-0.30%8時(shí)18分,漏洞報(bào)告平臺(tái)烏云(WooYun)曝光攜程支付日志存在安全漏洞。恰逢傳統(tǒng)金融業(yè)與互聯(lián)網(wǎng)金融激烈博弈之際,事件也再次拷問(wèn)了網(wǎng)絡(luò)支付的安全問(wèn)題。
攜程方面針對(duì)此事給用戶(hù)造成的困擾發(fā)表致歉。攜程網(wǎng)在給《每日經(jīng)濟(jì)新聞》的回復(fù)中稱(chēng),“3月22日晚已展開(kāi)技術(shù)排查并在消息發(fā)布兩小時(shí)內(nèi)修復(fù)問(wèn)題。93名潛在風(fēng)險(xiǎn)用戶(hù)已被通知換卡,其余攜程用戶(hù)用卡安全不受影響。事件發(fā)生后,攜程同各大銀行均取得聯(lián)系,經(jīng)核實(shí),目前也沒(méi)有出現(xiàn)用戶(hù)信用卡被盜刷的情況。攜程鄭重承諾,未來(lái),倘若發(fā)生安全漏洞并引起用戶(hù)損失,攜程將給予全額賠付。”
然而,事件的影響并未平息。有銀行客服反映稱(chēng),攜程網(wǎng)的公告安撫可能收效甚微,工商銀行[1.83% 資金 研報(bào)]某客服人員告訴記者,昨天(3月23日)打電話(huà)要換卡的人很多,“我自己就接了10個(gè)左右”。
違反“禁止記錄CVV”規(guī)定?
根據(jù)烏云的報(bào)告,漏洞泄露的信息包括用戶(hù)持卡人的姓名、身份證號(hào)、銀行卡類(lèi)別、銀行卡號(hào)、銀行卡CVV碼(即由卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字),以及銀行卡6位Bin(用于支付的6位數(shù)字)。也就是說(shuō),黑客若有了這一套信息,就能盜用用戶(hù)賬戶(hù)。事件發(fā)生當(dāng)晚,攜程方面確認(rèn)了這一“安全漏洞”的存在。
針對(duì)烏云的爆料,質(zhì)疑聲轉(zhuǎn)向了“攜程違反了銀聯(lián)此前禁止記錄CVV的規(guī)定”。據(jù)記者了解,CVV即銀行信用卡背后的三位驗(yàn)證碼,在“無(wú)卡支付”環(huán)節(jié),只需提供卡號(hào)及此三位驗(yàn)證碼就可完成支付。
“攜程在事件中有責(zé)任,信用卡CVV碼不應(yīng)該保存在本地平臺(tái)。攜程在付款過(guò)程中需要記錄并轉(zhuǎn)發(fā)給銀行接口用戶(hù)信息,但是記錄日志,破壞了支付安全性。”旅游界資深人士愛(ài)游觀察負(fù)責(zé)人鄭榮鋒向記者表示,相信此次事件對(duì)攜程的品牌和信譽(yù)度已經(jīng)造成影響,特別是長(zhǎng)期以來(lái)對(duì)攜程服務(wù)有依賴(lài)性的商旅客戶(hù)。
作為敏感的隱私泄密事件,這次事故在微博和微信等社交平臺(tái)產(chǎn)生了大量的轉(zhuǎn)發(fā)傳播。尤其近期傳言國(guó)家將對(duì)互聯(lián)網(wǎng)金融的發(fā)展作出限制,這次事件對(duì)于“支付寶們”不是好消息。
勁旅咨詢(xún)CEO魏長(zhǎng)仁亦分析指出,“這個(gè)事件肯定會(huì)影響消費(fèi)者對(duì)攜程的信任度。因?yàn)楝F(xiàn)在基本全部的機(jī)票款,部分酒店,旅游度假和其他更多類(lèi)型產(chǎn)品都需要在線(xiàn)支付。這個(gè)事件一定會(huì)促使攜程對(duì)用戶(hù)信息安全問(wèn)題更加重視。”
拷問(wèn)OTA支付安全難題
“在線(xiàn)旅游行業(yè)應(yīng)該是國(guó)內(nèi)最早在機(jī)票、酒店領(lǐng)域?qū)崿F(xiàn)信用卡預(yù)授權(quán)的行業(yè),在支付寶和微信支付未流行起來(lái)之前,攜程和藝龍作為在線(xiàn)旅游行業(yè)的代表,已經(jīng)將線(xiàn)上支付通過(guò)信用卡的模式普及得非常優(yōu)秀了。很多高端商旅用戶(hù)都是因?yàn)閿y程和藝龍上具有便捷的信用卡支付功能,而使用它們的服務(wù)。事件會(huì)對(duì)這部分商旅用戶(hù)群體產(chǎn)生比較大的影響。”鄭榮鋒指出。
在線(xiàn)旅游行業(yè)一資深合伙人向《每日經(jīng)濟(jì)新聞》記者透露,“實(shí)際上,OTA們對(duì)信息的安全是非常重視的,在我的觀察里,不管是攜程、去哪兒網(wǎng)還是藝龍,他們?cè)跀?shù)據(jù)保密方面還是做得很好的。”
“現(xiàn)在攜程方面曝出用戶(hù)(隱私)的泄露,也會(huì)對(duì)其他電子商務(wù)平臺(tái)起到警示作用。OTA們應(yīng)該迅速自查,避免類(lèi)似的事件再次發(fā)生,影響消費(fèi)者權(quán)益。”魏長(zhǎng)仁說(shuō)。
記者了解到,近年隨著移動(dòng)網(wǎng)絡(luò)的發(fā)展、互聯(lián)網(wǎng)理財(cái)產(chǎn)品的風(fēng)靡,平板電腦、智能手機(jī)等手持終端設(shè)備的普及,新型移動(dòng)支付領(lǐng)域也成了釣魚(yú)軟件、黑客等的覬覦之地。CNNIC最新數(shù)據(jù)顯示,2013年因網(wǎng)上支付發(fā)生安全問(wèn)題的網(wǎng)民數(shù)占整體上網(wǎng)人數(shù)的4.0%,影響人數(shù)達(dá)2010.6萬(wàn)人。其中,個(gè)人信息泄露比例達(dá)42.9%,賬號(hào)密碼被盜比例達(dá)23.8%。
層出不窮的新型騙術(shù)、花樣翻新的黑客木馬,無(wú)一不在拷問(wèn)著網(wǎng)絡(luò)支付安全問(wèn)題。“創(chuàng)新永遠(yuǎn)伴隨著風(fēng)險(xiǎn),相關(guān)機(jī)構(gòu)應(yīng)提高自身安全技術(shù)業(yè)務(wù);同時(shí),希望更多宣傳和普及用戶(hù)安全意識(shí)教育。希望有更多國(guó)際知名信息安全認(rèn)證機(jī)構(gòu)一起保障用戶(hù)的個(gè)人信息安全。這個(gè)過(guò)程就猶如監(jiān)管和檢查食品安全一樣。”華美酒店顧問(wèn)有限公司首席知識(shí)管理專(zhuān)家趙煥焱強(qiáng)調(diào)。
93名用戶(hù)已安排換卡
3月23日,對(duì)于平臺(tái)漏洞致使用戶(hù)信用卡信息泄露問(wèn)題,攜程網(wǎng)發(fā)布公告,表示漏洞已經(jīng)修復(fù),而可能存在風(fēng)險(xiǎn)的只有93名攜程用戶(hù),已經(jīng)安排換卡。
但據(jù)銀行客服反映的信息,攜程網(wǎng)的公告安撫可能收效甚微。工商銀行某客服人員告訴《每日經(jīng)濟(jì)新聞》記者,昨天打電話(huà)要換卡的人很多,“我自己就接了10個(gè)左右”。至于費(fèi)用方面,該客服人員表示,換卡要收取20元手續(xù)費(fèi),馬上可以辦理。
招商銀行[4.02% 資金 研報(bào)]客服人員告訴記者,“沒(méi)有必要因?yàn)檫@個(gè)換卡”,并反復(fù)強(qiáng)調(diào)銀行方面已經(jīng)排查過(guò)風(fēng)險(xiǎn),“如果確實(shí)要換,掛失費(fèi)用60元。”
某股份行信用卡部管理人員崔先生告訴記者,事實(shí)上銀行很難完全杜絕信用卡信息泄露,“我們有一個(gè)部門(mén)專(zhuān)門(mén)負(fù)責(zé)監(jiān)控,但沒(méi)有辦法完全杜絕,因?yàn)殂y行自己也需要這方面的信息才能完成網(wǎng)上交易,不能排除被黑客截獲破解的可能。”
銀聯(lián)資深風(fēng)險(xiǎn)專(zhuān)家王宇表示:“從目前披露的情況看,攜程方面可能存在一些瑕疵。我們一直在積極推動(dòng)相關(guān)機(jī)構(gòu)嚴(yán)格落實(shí)相關(guān)要求,商戶(hù)及收單機(jī)構(gòu)不能留存持卡人的敏感信息,同時(shí)也要采取多種措施提升交易環(huán)節(jié)的信息安全管理。”
大數(shù)據(jù)安全蒙陰影
盡管其他網(wǎng)站并未暴露與攜程網(wǎng)一樣的風(fēng)險(xiǎn),但大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)信息安全還是受到拷問(wèn)。
此前,包括當(dāng)當(dāng)網(wǎng)、亞馬遜、京東商城、7天酒店在內(nèi)的多家網(wǎng)站也曾爆出用戶(hù)個(gè)人信息遭泄露的報(bào)告,但是個(gè)人信息與信用卡信息相比,攜程網(wǎng)的紕漏顯然更為嚴(yán)重。
安全專(zhuān)家舉例說(shuō)明,黑客可以通過(guò)用戶(hù)的手機(jī)號(hào)碼、銀行卡號(hào)和CVV注冊(cè)第三方支付賬號(hào),從而跳過(guò)用戶(hù)和銀行綁定的手機(jī),進(jìn)行盜刷,“這些數(shù)據(jù)可以用來(lái)創(chuàng)建或關(guān)聯(lián)第三方支付,國(guó)內(nèi)第三方支付公司多達(dá)幾百家,可以利用的點(diǎn)很多。受害者可能隨時(shí)出現(xiàn)資金被盜。”
對(duì)此,攜程網(wǎng)人士解釋稱(chēng),這是攜程旅行網(wǎng)在技術(shù)調(diào)試過(guò)程中,出現(xiàn)了短時(shí)漏洞。“除漏洞發(fā)現(xiàn)人做了少量的測(cè)試下載并已全部刪除外,沒(méi)有出現(xiàn)惡意下載有關(guān)數(shù)據(jù)的情況,用戶(hù)在攜程的交易仍舊是安全的,用戶(hù)信息沒(méi)有受到影響。”
MediaVCTO、原Google技術(shù)總監(jiān)胡寧分析,可能攜程并未故意存儲(chǔ)CVV信息,但其數(shù)據(jù)傳輸為明文,且線(xiàn)上竟長(zhǎng)時(shí)間打開(kāi)調(diào)試功能,導(dǎo)致系統(tǒng)日志中亦為明文,又未及時(shí)清理,所存儲(chǔ)的服務(wù)器還有安全漏洞。一步錯(cuò),步步錯(cuò),“用戶(hù)信用卡信息泄露,并非犯低級(jí)技術(shù)錯(cuò)誤這么簡(jiǎn)單。敏感信息需加密存儲(chǔ)、線(xiàn)上開(kāi)調(diào)試功能需慎重、系統(tǒng)日志要及時(shí)清理、服務(wù)器安全性要達(dá)標(biāo),這都是常識(shí)。”胡寧說(shuō)。
據(jù)悉,攜程已建立安全應(yīng)急響應(yīng)中心,并設(shè)立了信息安全獎(jiǎng)勵(lì)基金,獎(jiǎng)勵(lì)為攜程找出漏洞的信息安全衛(wèi)士。此事也給當(dāng)前火熱的網(wǎng)絡(luò)支付以及大數(shù)據(jù)安全蒙上陰影。
中國(guó)潮人怎么玩游艇
