攜程“漏洞門”只是冰山一角

文 《法人》特約撰稿 董毅智

攜程“漏洞門”只是冰山一角

文 《法人》特約撰稿 董毅智

在網絡支付技術層面存在漏洞和缺陷，是不可避免的，如果因此遭到泄密，用戶還可以找到為他辯解的理由。但是涉及到存儲用戶信息、明文保存用戶密碼，這類不規范操作，這就事關網絡企業道德底線，和用戶對網絡企業的信任

3月22日，漏洞報告平臺烏云網披露了攜程信息安全漏洞問題。

漏洞發現者稱，攜程開啟了用戶支付服務借口的調試功能，支付過程中的調試信息可被任意駭客讀取，可能導致大量用戶銀行卡信息泄露 (包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)。

事件發生后，攜程方面在微博上“向用戶誠懇道歉”，并稱已在兩小時內修復了這個漏洞，攜程用戶信息未受影響。

但在“申明”中，攜程對泄密事件的細節卻含糊其辭，沒有直面錯誤的勇氣。盡管漏洞僅持續了兩個多小時就被修復，但事件引發的恐慌并未就此止住，攜程泄密的“余波”還在回蕩中，這則“可被任意駭客讀取”的消息總是無法消除用戶心中的疑慮。

“漏洞門”并非個案

類似攜程的泄密事件絕非個例。2012年CSDN事件在前，兩年后攜程事件歷史再現。只不過CSDN被泄密的部分是歷史數據庫，不是金融數據；此次攜程泄密的是正在支付的數據，是用戶的銀行卡信息。所以，攜程泄密的后果可能比CSDN泄密事件的后果要嚴重。

根據烏云平臺及攜程方面的神明，用戶的個人支付信息，比如攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息都可能遭外泄。這也是為什么很多用戶心急火燎地著急更換信用卡的原因所在。

在CSDN事件之后，無論是用戶，還是網站平臺，對于用戶的個人信息安全問題，是互聯網發展的硬傷。

最引起業內外廣泛反思的，就是明文存儲用戶密碼信息的問題。而且北京有關部門甚至還因此向CSDN網運營公司作出行政警告處罰。

攜程可好，有了CSDN等多位前輩的前車之鑒，仍然無法成為“后事之師”。如此嚴重的教訓后不過兩年光景，攜程在同一塊石頭上再次絆倒。

攜程在手，說泄就泄

魚與熊掌不可兼得，舍魚而取熊掌也。便捷與安全不可兼得，舍安全而取便捷也。說起攜程泄密時間的根本問題，只能說在利益選擇問題上，攜程“自私走一回”，最后“不留心”就被狠狠絆了一腳。

現在網絡信用卡支付之所以發展迅速，與其異常簡單的流程密不可分。比如之前有媒體報道，攜程網會員如果多次購買支付酒店或機票價款后，只需提供卡號后四位及CVV2碼，攜程網就會完成下一次支付操作。

表面上看，攜程是為了提升客戶體驗，簡潔了流程，在競爭地位中獲得優勢。但實質上，這種優勢卻是以用戶安全為代價換來的。

在攜程事件中，被問到的問題最多的恐怕是攜程為什么要“將用戶支付的記錄用文本保存了下來”。客觀說來，在網絡支付技術層面存在漏洞和缺陷，是不可避免的，如果因此遭到泄密，用戶還可以找到辯解的理由。但是涉及到存儲用戶信息、明文保存用戶密碼，這類不規范操作，就事關網絡企業道德底線和用戶對網絡企業的信任。

按照銀聯2008年發布的《銀聯卡收單機構賬戶信息安全管理標準》2.1條，各收單機構系統只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。攜程存儲用戶信息，甚至明文保存用戶密碼的違規操作，顯然已經涉嫌違法。

攜程的廣告語是“攜程在手，說走就走”，可這“說泄密，就泄密”，將用戶的安全和利益置于何地？雖說攜程在操作中也許并沒有存有邪念，但是放任的助長心態也多多少少反映出當前中國互聯網界整體安全意識淡薄的現狀。

網絡安全，防君子不防小人

“棱鏡！”這兩個關乎所有互聯網隱私泄密事件的字眼，一經公開，就在全世界范圍內“炸開”，引起了世界范圍內的廣泛關注。作為事件的主角，美國中央情報局前雇員愛德華·斯諾登所透露出的很多信息，讓世界各國當然也包括我國網絡信息安全等產業堪憂！

據斯諾登稱，自2007年的小布什時期開始，美國情報機構一直在九家美國互聯網公司中進行數據挖掘工作。美國國家安全局也一直通過路由器等設備，監控中國網絡和電腦。其中包括兩個秘密監視項目：一是民眾電話的通話記錄；二是民眾的網絡活動。

爆料還稱，大家所熟知的谷歌、facebook、skype、youtube等九大公司遭到參與間諜行為的指控。并且之后，facebook、微軟兩公司首次承認，美國政府確曾向它們索要用戶數據，并公布了部分資料數據內容。

據傳，就在攜程泄密事件之后不久，有媒體稱美國國家安全局曾經入侵到中國企業華為總部的服務器，并試圖取得機密信息。

國際巨頭華為也沒能幸免于難，可見安全無小事，網絡安全防不勝防。互聯網信息安全的保護，就像是別墅周圍的矮籬笆，只防坦蕩蕩的君子，防不了長戚戚的小人。

劍指泄密法律空白

用戶作為消費者，是《消費者權益保護法》的保護對象。按照“消法”的規定，消費者在消費中享有安全權。這里的安全權不僅僅是指身體安全，也包括財產安全。

攜程明文保存用戶密碼信息的違規操作，違反銀聯規定，將用戶的安全置于危險之地，用戶的損失與攜程脫不了干系。希望攜程的承諾“未來如果因安全漏洞引起用戶損失，攜程將承擔全部責任并給予賠付”將會兌現，也不枉負用戶的“一往信任”。

攜程泄密事件，我們要做的不僅僅是眼睜睜看著用戶信息安全在網絡“黑洞”面前的無力和無奈。除此之外，在法律層面帶給我們更多的是反思和警醒。關于用戶信息安全，相關法律是否完善？網絡安全中的刑事、行政、民事等各類法律關系能否界定？被泄密的用戶損失如何界定？相關主體是否提供了公平、安全的行為準則？相關行業是否形成了相應的行業標準？司法機關對于相關類型的新型犯罪和糾紛，是否有了最起碼的司法準繩？誰有責任向用戶普及最基本的網絡安全常識？

諸如此類的疑問，已經成為現時亟待回答的問題，這也已經足夠給各個部門敲響維護用戶信息安全的警鐘。

攜程的廣告語是“攜程在手，說走就走”，可這“說泄密，就泄密”，將用戶的安全和利益置于何地？雖說攜程在操作中也許并沒有存有邪念，但是放任的助長心態也多多少少反映出當前中國互聯網界整體安全意識淡薄的現狀。