攜程曝“漏洞門”快捷支付隱憂再現

本刊記者 | 于光媚

攜程曝“漏洞門”快捷支付隱憂再現

本刊記者 | 于光媚

攜程信用卡漏洞事件引起了公眾對互聯網信息安全的恐慌，而此次事件其實只是冰山一角。

近期鬧得沸沸揚揚的“漏洞門”風波，讓攜程一時成為眾矢之的，尤其事關“荷包”，更是不斷挑動著公眾的敏感神經。頻頻發生的信息泄露事件，讓以便捷著稱的互聯網支付深陷危機，誰來保護消費者的信息安全？誰又將成為下一個火藥桶？

3月22日晚，一個編號為54302的漏洞報告被曝光在互聯網安全問題反饋平臺烏云上，發布者是烏云的核心白帽子黑客“豬豬俠”。報告稱，攜程安全支付日志可下載，導致用戶銀行卡信息泄露(包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡Pin)。此外，攜程還被曝出某分站的源代碼包可以直接下載。

事件發生兩小時后，攜程方面做出了相關回應：“攜程的技術開發人員之前是為了排查系統疑問，留下了臨時日志，因疏忽未及時刪除，目前，這些信息已被全部刪除。”攜程還透露，經過排查，僅漏洞發現人做了測試下載，沒有出現惡意下載有關數據的情況，內容含有極少量加密卡號信息，共涉及93名存在潛在風險的攜程用戶。

“攜程客服已于3月23日通知這些用戶更換信用卡，截至3月23日22：00，沒有接到攜程客服換卡通知的用戶，個人信息均是安全的，無需擔心。”攜程強調。隨后，攜程又在其官方微博上發布了道歉聲明，并稱未來如果因安全漏洞引起用戶損失，攜程將承擔全部責任并給予賠付。

擦邊球“擦”過了火

然而，攜程的回應并未打消用戶的顧慮，同時隨著更多信息的披露，攜程更多的問題被曝光出來。瑞星安全專家唐威指出，攜程在此次事件中犯的一個重要錯誤就是，擅自保存用戶信用卡CVV碼等信息，這明顯違反了中國人民銀行頒發的《銀行卡收單業務管理辦法》。

CVV碼又叫用戶識別碼，是位于信用卡號后的3位數字，是銀行卡進行非面對面交易時用于確認用戶身份的識別碼，作用類似于密碼。根據中國人民銀行《銀行卡收單業務管理辦法》第28條規定，收單機構不得以任何方式存儲銀行卡磁道信息或芯片信息、卡片驗證碼、卡片有效期、個人標識碼等敏感信息。并應采取有效措施防止特約商戶和外包服務機構存儲銀行卡敏感信息。

“完成信用卡快捷支付流程，只需輸入持卡人姓名、身份證號、信用卡卡號、CVV碼即宣布交易成功，根本無需輸入信用卡密碼。”唐威說，這些是用戶在交易過程中輸入的，進行信用卡驗證后就要刪除的信息。而攜程用于處理用戶支付的安全支付服務器接口存在調試功能，將用戶的支付記錄用文本保存了下來。

其實這種無卡無密碼便可支付的信用卡支付并不少見，諸如同程網、藝龍網、芒果網等OTA（在線旅游企業）網站，使用信用卡支付時同樣只需要卡號、有效期和CVV碼即可。“攜程們”這么做是效仿國外信用卡支付方式，簡化支付流程。攜程技術人士回應，“整個支付系統是漏斗結構，多一個步驟就會流失一部分客戶。保存信息就是為提高轉換率，增加便捷度。所有的快捷支付都如此。”但是這一做法在國內顯然有打“擦邊球”的嫌疑, 只不過這次攜程由于自身對于數據安全較為大意，成了“倒霉蛋”。

此后，攜程方面承認了違規存儲CVV碼一事，表示“我們將在交易完成后刪除客戶的CVV信息，不再保存。以前保存的那些CVV信息，正在予以刪除。客戶信用卡信息的傳輸和保存始終處于加密狀態，任何未經授權的人員都無法取得這些資料。”

誰來保護用戶信息安全

雖然目前看來，此次事件并未產生嚴重財產損失，但這場波及全國的信用卡信息泄露風波仍然讓用戶心有余悸。據悉，與攜程合作的中國銀行、中國工商銀行、招商銀行等十多家銀行，在事件發生后客服電話幾乎被打爆，咨詢的業務基本均為緊急換卡或取消捆綁。

所幸這次發現攜程安全漏洞的是白帽子黑客，這類黑客一般會在發現漏洞后立即向相關公司發出警報，在公司修補好漏洞后再向公眾發布。若被惡意黑客發現這一漏洞，那影響絕不止于此了。

攜程信用卡漏洞事件引起了公眾對互聯網信息安全的恐慌，而此次事件其實只是冰山一角。近年來有關信息泄露事件頻頻發生，2011年12月，CSDN的安全系統遭到黑客攻擊，600萬用戶的登錄名、密碼及郵箱遭到泄漏。2013年10月，如家、七天等連鎖酒店被網曝有多達2000萬條客戶開房信息遭泄露。此外，還有關于隱私泄露最出名的美國棱鏡門事件等。

根據中國電子商務研究中心發布的《2013年中國網民信息安全狀況研究報告》顯示，74.1%的網民在過去半年時間內遇到過信息安全問題，總人數達4.38億，全國因信息安全事件而造成的個人經濟損失達到了196.3億元；因網上購物遇到過安全問題的網民達2010.6萬人，其中因網購遭遇個人信息泄露和賬號密碼被盜分別為42.9%、23.8%；電腦網絡支付時，資金被盜、被騙和賬號密碼被盜的比例達32.1%。

人們在使用互聯網時多少會讓渡部分隱私權，但作為普通用戶要靠自己的力量規避安全風險還是有點難度，根本不清楚使用的相應軟件到底哪些安全、哪些有“后門”。然而并不完全可靠的監管防護，層出不窮的技術層和管理層的安全漏洞，以及無孔不入的黑客攻擊，無一不在考驗著網絡支付的安全能力。

尤其移動互聯網的迅速發展，用戶的個人信息、銀行信息等相關數據與互聯網應用綁定的越來越緊密，隨之而來的安全風險和威脅也越來越大。而商家為了提升用戶體驗和消費便捷度，往往對安全問題意識淡薄且心存僥幸。如何在方便和安全之間找到平衡，成為用戶和商家都應思考的問題。

此次快捷支付的漏洞問題其實也映射出整個互聯網金融的安全隱憂，隨著互聯網企業與金融業聯系日益緊密，以大數據為依托的互聯網金融該如何維護數據的安全與穩定，風頭正勁的互聯網金融是否會成為下一個“攜程”？