發表于:2014-03-25 00:00:00來源:京華時報人氣:3028
國内網絡安全問題反饋平台——烏雲漏洞平台發布消息稱,由于攜程網系統存技術漏洞,用戶個人信息、銀行卡信息可能會遭洩露。業内分(fēn)析人士稱,攜程并沒有支付牌照,按規定不允許存儲用戶銀行卡信息,此次事件暴露出相關企業内控機制方面的短闆以及部分(fēn)第三方支付機構風險管理存在隐患,建議有關部門盡快出台保護個人隐私的法律法規,同時對洩露客戶信息的機構進行處罰,爲在線支付把好“安全閥門”。
綜合京華時報記者廖豐平亦凡新華社電(diàn)
□事件
交易網站違規存CVV碼
攜程将用于處理用戶支付的服務接口開(kāi)啓了調試功能,使部分(fēn)向銀行驗證持卡所有者接口傳輸的數據包直接保存在本地服務器,有可能被黑客所讀取。攜程沒有支付牌照,按照規定不允許存儲用戶銀行卡信息,尤其是CVV碼(又(yòu)叫用戶識别碼,是銀行卡進行非面對面交易時用于确認用戶身份的識别碼,作用類似于密碼)。而上述調試接口,通常是攜程需要和合作公司調試時才打開(kāi),數據包通常會有多種加密功能,即便被下(xià)載也很難破譯。
據了解,攜程合作的銀行包括工(gōng)商(shāng)銀行、中(zhōng)國銀行、招商(shāng)銀行、浦發銀行等十餘家,第三方支付機構包括支付寶、财付通、銀聯在線等。
攜程作爲納斯達克上市的在線第三方支付企業,必須遵守《第三方支付行業數據安全标準》,其中(zhōng)明确規定了如何實施數據保護,以及哪些信息可以保存、哪些信息不能保存,CVV碼屬于不允許存儲的敏感數據。
“交易網站存CVV碼,相當于小(xiǎo)時工(gōng)偷偷配了你家的鑰匙,同時,他還知(zhī)道關于你家所有的信息。”新浪認證微博、汽車(chē)之家創始人李想說,“需要輸入CVV碼和存儲CVV碼是兩個概念。有些信息可以存,有些信息無論如何也不能存,攜程存了無論如何也不該存的CVV碼,這相當于把你信用卡的密碼存儲并洩露了。”
□揭秘
旅遊産品支付手段較“寬松”
烏雲曝出的攜程支付漏洞事件讓不少人非常詫異:攜程爲什麽要保存信用卡的CVV碼?記者調查發現,這跟旅遊産品預訂的特性有關。
以機票(piào)和酒店(diàn)爲代表的旅遊産品,價格随着庫存、預訂時間實時變化。網購一(yī)張機票(piào)的流程是,用戶查詢到一(yī)個航班以後,比如看到一(yī)張400元3折的機票(piào),用戶輸入乘機人姓名和身份證點擊下(xià)一(yī)步,然後完成支付,代理商(shāng)在看到用戶完成支付後會憑借這個完整的訂單進行出票(piào)。但用戶填寫信息需要一(yī)定時間,對網購熟悉的用戶完成支付最快會花30秒,慢(màn)的則需要1-2分(fēn)鍾,在這過程中(zhōng),此前的3折票(piào)很可能已被航空公司取消或者變價,價格可能漲到了450元,這就出現了支付成功但不出票(piào)。
所以說并不是填寫完個人信息,點擊下(xià)一(yī)步票(piào)就預訂成功。如果消費(fèi)者預訂時相關産品庫存和價格數據與實時情況相匹配,則預訂成功,相關款項也會支付出去(qù)。然而,當消費(fèi)者的預訂指令發出後,後台處理往往會出現各種情況,如庫存沒有了,或者價格漲了,這時候,預訂平台就會反饋消費(fèi)者是否做其他選擇或繼續預訂。爲了優化消費(fèi)者的體(tǐ)驗,對于在線旅遊網站而言,将消費(fèi)者的姓名、身份證、信用卡号、CVV碼等儲存起來,在這種情況下(xià)預訂反應機制會更靈活,後台系統訪問相關數據庫回轉機制的頻(pín)率比買實體(tǐ)商(shāng)品要高。
第三方支付也存儲用戶信息
從技術上看,旅遊産品支付條件“更寬松”,預訂旅遊産品是不是比普通網購更不安全?一(yī)位資(zī)深技術人士告訴記者,事實上,包括第三方支付平台也會将消費(fèi)者的相關數據儲存起來。正規的網購平台儲存數據後會進行加密,之後數據進入一(yī)個密封的管道中(zhōng),隻有和銀行對賬時,相關數據才會解密。
在預訂成功後,數據是如何“保存”下(xià)來的呢?其實相關數據此時已在預訂後台被删掉,進入到另一(yī)個加密的信息儲存庫(非VCC)中(zhōng),以便用戶日後預訂時調出。“攜程這次的數據洩露事件,不是信息儲存庫裏的數據洩露了。而是因爲攜程技術人員(yuán)将用于處理用戶支付的服務接口開(kāi)啓了調試功能,也就是說對預訂後台的部分(fēn)數據解密(包括CVV)進行排查技術上的問題,本來這些數據應該下(xià)載到本地日志(zhì)服務器中(zhōng)(安全性極強,外(wài)界無法訪問),但這些數據卻被放(fàng)在Web服務器中(zhōng),可以說是不應該發生(shēng)的低級錯誤。”該資(zī)深技術人士說。
□提醒
不要在不信任網站填寫核心信息
“中(zhōng)國黑客教父”龔蔚表示,攜程的本次系統漏洞是由一(yī)些小(xiǎo)漏洞構成的,單看每一(yī)個小(xiǎo)漏洞都不嚴重,但聯在一(yī)起就變成了“安全事故”。
“事實上,(網站存儲)CVV信息是強加密的,即便是黑客也不一(yī)定能破解。”龔蔚說,“黑客在盜取此類信息時需要滿足三個條件:加密碼可破解、長期記錄、漏洞沒有修複。”
龔蔚表示,第三方支付機構爲了能夠記錄、追蹤、調試用戶的購買環節,會在程序運行過程中(zhōng)記錄用戶的個人信息,這是正當行爲,但是這樣的信息不是每個人都能看到,而且需要加密。一(yī)般調試過程都是在虛拟的條件下(xià)完成的,并在開(kāi)發或調試完成之後、上線之前檢查所有數據端口是否關閉。
“在線填寫的個人信息并不是都加密的,像姓名、身份證号就是明文,銀行卡号、CVV碼就會強加密。”龔蔚說,“之所以一(yī)部分(fēn)個人信息不加密,是出于資(zī)源使用效率和用戶體(tǐ)驗的考慮,加密要消耗系統資(zī)源,并且還需要解密、還原的過程,這樣使用起來程序繁多、速度很慢(màn)。”
龔蔚建議,企業一(yī)定要有安全意識,不能忽略小(xiǎo)漏洞。而作爲消費(fèi)者,在選擇購買支付網站、填寫個人信息時一(yī)定要謹慎。“當提交含有身份證号、銀行卡号、密碼等核心個人信息時,一(yī)定不要提交給不信任的網站。一(yī)般來說,知(zhī)名的大(dà)網站技術相對成熟,不會出現黑客在網站中(zhōng)直接加入代碼,獲取用戶信息的現象。而諸如小(xiǎo)的代購網站,安全性就降低很多。”
此外(wài),龔蔚表示,除非必要,否則不要使用真實的身份,能使用虛拟身份就盡量使用,這樣可以減少個人信息洩露。“在網上支付的時候一(yī)定要慎重,最好給銀行卡設置網購限額、支付短信通知(zhī)等安全等級保護,一(yī)旦銀行卡被盜用,可以立刻發現,減少損失。”
□建議
監管部門需強力介入
盡管攜程網及時回應了公衆質疑,但公衆的擔憂似乎并未消減。廣州一(yī)家外(wài)貿公司的陳小(xiǎo)姐是攜程網的忠實用戶:“攜程網承諾,未來如果因安全漏洞引起用戶損失,将承擔全部責任并給予賠付。如何界定損失,企業說了算嗎(ma)?”陳小(xiǎo)姐很疑惑。
公開(kāi)信息顯示,到事發爲止所有的調查和損失認定工(gōng)作均由攜程網一(yī)方進行,并未引入第三方監管機構。業内分(fēn)析人士坦言,目前國内還沒有相關立法對第三方支付機構獲取用戶信息進行規範管理。
此次攜程洩露用戶信息反映出在線支付行業不僅要加強行業自律、更需要監管部門強力介入,亟待通過出台明文法規、進行合規性、合法性檢查的方式将在線支付納入到行業監管的大(dà)局之下(xià)。
中(zhōng)央财經大(dà)學銀行研究中(zhōng)心主任郭田勇認爲,攜程洩露用戶信息事件暴露出部分(fēn)第三方支付機構風險管理存在隐患,建議有關部門盡快出台保護個人隐私的法律法規,同時對洩露客戶信息的機構進行處罰,嚴把第三方支付的“安全閥”。