|
用户信息安全和便利是个矛盾,信息安全影响系统开发速度更是个矛盾。携程信用卡支付泄密事件不是内鬼做的,否则客户损失会不堪设想。携程泄密程度很小,比美国Target百货店泄密数千万名客户信用卡信息差远,但这给竞争对手在公关有机可乘,让媒体炒作,损害其品牌,信息安全要避险。
巴菲特告诫儿子:【要赢得好的声誉需要20年的时间,而要毁掉它,5分钟足矣。如果明白了这一点,你做起事来就会不同了。】请加入Webplus.com//@溢信科技: 信息泄露虽易,信誉补救不易//@滕堇伊Clover:昨儿,还在和朋友讨论这个问题,互联网信息安全在中国尤其不太容易做到。因为最大商业价值都在数据里。//@山丽信息安全有限公司: 是以安全为重还是利益至上,看怎么权衡了。要是安全都没了保障拿什么去便捷。//@滕堇伊Clove
幸好我们这三年多的沙龙来宾和Webplus.com的信息都没被泄密!
【携程泄密事件探因:核心IT人员仅六、七名】携程的漏洞表面上源于部门员工偶然的失误,实际则是OTA(在线旅游代理)企业恶性竞争的必然结果。公开资料显示,携程的OpenStack团队总共加起来不到二十人,核心技术人员只有六七名,相比庞大的呼叫中心和无线端业务人员可谓九牛一毛。
携程泄密事件探因:核心IT人员仅六、七名
2014年03月31日 05:42 理财周报
携程漏洞曝光之后:对话当事白帽黑客
携程网被疑储存用户信用卡信息有泄露风险
叶亚明万万没有想到,他在携程网(48.37, 1.36, 2.89%)大干快上的技术改造升级给其OpenStack团队造成巨大压力。这位携程网新任技术副总裁自上任始,便对整个技术构架进行大刀阔斧的改革。
成也萧何,败也萧何。
乌云漏洞平台上披露的一则信用卡支付“漏洞”,让雄心勃勃的叶亚明绊了个大跟头。这个漏洞散列是:bf9165488f5e2ea3ca02ec6b310446b0。
虽然在此前,乌云网已经连续披露京东(滚动资讯)商城、支付宝、网易(68.13, 3.13, 4.82%)等国内著名互联网企业在用户信息安全防护中存在高危漏洞。然而,此次对于携程漏洞的详细描述——“通过信用卡支付的携程网用户姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码等信息已有可能被黑客所读取”挑起了公众的敏感神经。
对于信用卡的这个“惊天漏洞”此前已陆续有媒体曝光,在线OTA网站无卡无密码支付也是行业通病,但却使携程落马了。
携程的技术研发部和信息安全部在业界颇具声名,完全自建的携程IT系统包括网站系统、在线交易系统、采购系统等子业务系统,从复杂性上来说,能与之媲美的唯有淘宝。
但关键是技术研发部与信息安全部之间存在微妙的博弈关系,携程的漏洞表面上源于部门员工偶然的失误,实际则是OTA(在线旅游代理)企业恶性竞争的必然结果。
他们的解释
在线旅游市场群雄逐鹿,占有市场份额最大的携程作为先行者一度领跑,过着一家独大的好日子。然而,随着艺龙(16.08, -0.17, -1.05%)、去哪儿(29.47, 2.62, 9.76%)等竞争对手的崛起,其龙头地位早已岌岌可危。商业模式上,携程依然仰仗着十几年前创业之初确立的呼叫中心带来业务量,而老对手艺龙早已在革命,砍掉线下发卡渠道全力发展线上销售。
而携程依然按兵不动,直到叶亚明的出现。
作为OTA行业的老大,经过十多年的发展,携程逐步构建出自己的护城河——强大的IT系统。而这个核心部门一直以来颇为神秘,理财周报记者辗转找到内部人士也拒绝媒体采访。理财周报记者遂多方打听,试图揭开其鲜为人知的一角。
携程的IT系统复杂且庞大,完全靠内部一步一步搭建。叶亚明到任后,在携程完成了几次重要的技术改进。据中国软件开发联盟CSDN公开资料显示,携程技术改造升级分别布局于前后端。在网站前台进行页面改版,后台以Open API(开放应用程序编程接口)的方式开放平台资源,同时成立数据中心进行大数据处理。
云技术只是叶亚明的小试牛刀,他更大的野心在对公司技术架构的革新,目前的携程已经采用OpenStack这一云计算平台来搭建。
他在布一个长远的局。
在叶亚明眼中,无线端的业务增长速度在未来将会远远超过呼叫中心。在新的架构下,可以将实体机器完全虚拟化。比如增加300个人,产生300个虚拟机器就可以了,虽然人数增加,但管理机器的数量没有变化,这就会提升效率。
可以想见,如果这一切都万无一失的话,这堪称叶亚明在携程的伟大战役。
但是,理财周报记者查阅中国软件开发联盟CSDN的公开资料时发现,携程的OpenStack团队总共加起来不到二十人,其中核心技术人员只有六七名,相比庞大的呼叫中心和无线端业务人员可谓九牛一毛。
千里之堤,毁于蚁穴。
就是这个搭建了庞大系统的部门,不久前却因技术人员操作不谨慎,被黑客抓住把柄。
3月22日下午,乌云漏洞平台发布消息称,携程系统存在技术漏洞,可导致用户个人信息、银行卡信息等泄露。当晚11点,携程技术人员对漏洞进行确认。23日早上7点,携程官方消息称漏洞已经修补。
据乌云网的说法,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
而携程公关部针对事件原因接受理财周报记者采访时表示:“漏洞是携程技术人员在对某个服务器进行系统问题排查时,留下临时日志未及时删除所致。”
关于技术排查,相关网站技术人员对理财周报记者进行了详细描述:“所有网站在这一点上都是类似的,网站技术人员会定期对每个服务器进行扫描,主要为了发现潜在的漏洞,并进行修补。这种扫描,有些网站由自己完成,也有会通过第三方机构扫描,由他们出具漏洞清单和修补意见。”
这种扫描漏洞的部门又称为信息安全部或者是风险控制部门,在携程内部有独立的信息安全部门专门负责漏洞扫描和排查工作,但此次的漏洞却为第三方平台乌云网所发布。
携程公关部对此向记者表示:“这部分信息也是处于加密状态,即使拿到信息也要通过破解才能读取。”这对黑客而言并非难事。
与此同时,理财周报记者致电另一家OTA企业,在其网站支付时与携程一样无卡无密即可成功。其CEO表示:“我们不是明文保存的,我们是加密保存的,携程这个案例我们也看了,但具体情况不是很清楚。”对于当时未付款的客户信息,也没有规定保存客户敏感信息7天,具体也是由研发和审计法务的风控部门负责。
“拇指”+“水泥”
携程事件只是冰山一角。
无卡无密码便可支付的信用卡支付已是普遍现象。不管你是在携程网,还是在同程网、艺龙网、芒果网等OTA网站,使用信用卡支付时同样只需要卡号、有效期和CVV码,并不需要密码和卡。
“无卡无密这种支付方式是合理存在的,是行业规定的。像酒店预订,以及携程和类似的商旅网站通常会使用。原则上来讲,商旅网站不应该保存CVV等信息,这是违规的,但银行方面不了解网站是不是这样做。”建行信用卡部办公室工作人员肖瑞娟这样告诉理财周报记者。而招行信用卡专员也肯定了这一说法,并称采用这种支付方式的渠道很多,目前无法提供一个完整的列表。国外交易网站大部分也是通过卡号、卡面有效期、背面后三位码就可以完成了。但有些网站需要万事达或VISA验证服务的话,会要求输入查询密码来验证。
但携程的错误在于违规保存客户敏感信息如CVV码等,这明显违背了央行规定。
根据央行《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。
对此,携程方面对理财周报记者表示:“我们将在交易完成后删除客户的CVV信息,不再保存。以前保存的那些CVV信息,正在予以删除。曾经存留的信用卡信息在传输和保存始终处于加密状态,任何未经授权的人员都无法取得这些资料。”
但为什么携程要违规保存客户信用卡的敏感信息呢?
“记录信息处于的思考层面会比较多,方便用户是其中之一,方便自己做一些调试等目的也是有的,但是我们也很难知道它具体还有其他什么目的。可以肯定携程不会自己盗刷用户的卡。按理来说,这些知名的与支付有关的网站是可信的,他们不会做危害用户的行为,只是有些规定并没有执行好,是他们工作上的失误。”国内最早提出网站安全云监测及云防御的北京知道创宇公司研究部总监余弦这样告诉理财周报记者。
此次携程漏洞就是因为开发人员开启了调试,留下了临时日志导致信息有外泄的可能性。开启调试功能对开发人员意味着什么?“因为程序开发中,如果开启了调试功能,则有利于程序员更精准地定位整个支付环节中的一些问题,可能会有利于他们的业务改进。不仅是开发新的产品,包括现有的支付环节,有可能在逻辑上有一些缺陷,比如BUG。调试有利于程序员或者开发人员进一步改进他们的工作。”余弦这样解释道。
这就涉及到研发部门与安全部门普遍存在的一个矛盾:开发为了满足业务可能会疏忽了安全线。而安全部门可能会要求开发人员执行一些安全标准,但当执行这些标准的时候又可能会影响开发进度。“它们是两个互相补充的部门,如果相互之间能配合好的话就不会出现携程事件了。”余弦向理财周报记者说道。
为此,有业内分析人士认为,携程此次用户信息泄露事件,可能是无线研发推进过快而变相导致的。曾经参观考察过携程的大众点评网技术部负责人也对携程产品研发更新速度表示钦佩。携程CEO梁建章在去年回归后的第一个重点就是推出“拇指+水泥”战略,将更多资源偏向移动互联网,所有最新的丰富旅游产品都优先在移动领域尝试。梁建章表示,无线客户端代表的移动互联网将是携程突围的一个关键点。在携程内部,无线业务亦被因此称为“二次创业”。
但余弦认为与市场竞争关系并不大,“这与开发人员的安全意识有关”,余表示。
“擦边球”基因
既然无卡无密码支付是行业常态,这个信用卡支付的“漏洞”早就有媒体曝光,但为什么携程的一个“漏洞”却引起如此大的关注和讨论?
“一是跟公民的财产有关系,用户很在意;二是信用卡的快捷支付很方便,跟银行卡不同,信用卡甚至都不用密码;三是这个事情有很多黑公关炒作的成分在里面,大肆渲染,不负责任地放大这件事。你有听说这几天有谁被盗刷了吗?”余弦这样反问记者,作为安全圈的一员,他直言黑客根本不会盗刷炒作得人尽皆知的事情。
作为在线旅游市场的龙头,携程的用户波及面极广。据悉,每天在携程订票的人数约80多万。
从2012年艺龙挑衅携程引起国内OTA价格战开始,携程就被动地处在各个小OTA公司的联合围剿中,先后投入这场战争的有艺龙、同程、去哪儿、芒果等。
恶战一年多后,OTA的格局并未改变。携程虽然折兵损将,但依然稳居老大地位,2013年的财报也颇为亮眼,根据财报显示:携程2013年净营业收入为54亿元人民币(约合8.9亿美元),相比2012年增长30%。而艺龙2013年净亏损1.68亿元创下历史新高。
除了真金白银的价格战,口水战也几乎没有停止。携程此次出现如此低级错误,更是难得的反击时机。
抛开行业竞争的大环境,携程本身携带“违规打擦边球”的基因也许早就为此次事件埋下了伏笔,看似偶然的事件也凸显了必然性。
携程正是从“违规”中诞生的。十年之前,从行业来说,跨地区买飞机票是违反规定的,但携程却敢于推出一个全国性的网络订票平台。“这个违规是商业规则不成熟的表现。为什么要改革,就是要改掉这些不合理,看上去合法,实际上它真的是违规的东西。所以携程十年前做了这样一个突破。”在携程信用卡支付漏洞的前一天,CEO范敏曾这样公开说道。
正是这样的“甜头”让范敏更加大胆。
据知情人士透露,2009年以前,携程服务器并不留存用户CVV码,用户每次购买机票,预订酒店都需要输入CVV码;但2009年,范敏为了简化操作流程,优化客户体验,拍板决定在携程服务器上留存CVV码。
如今看来,正是当时范敏的这个决定为今天的“漏洞”埋下了隐患。
而携程对本次事件最新的处理决定是:“我们将会按照监管部门的要求,尽快优化完善用户的支付流程。加强内部排查所有可能存在漏洞,邀请国内知名网络安全专家对携程系统进行会诊。同时,我们已经启动了CFCA和PCI的认证程序,以期更好地符合监管要求。”
问题是,此前携程曾有意向接入该认证程序,但是公司工作人员去考察之后发现,携程自身系统要整改难度太大,业务种类多且交叉多,如果按照该系统接入而整改会使架构都会有所变化,导致至今未引入CFCA和PCI认证标准。
“但是PCI也并非法律条款,只是支付卡大亨自己制定的规范,通过PCI不代表就能保存用户的敏感信息,还要根据国内的规定。”PCI-DSS在中国的合作伙伴北京航天亿展公司的工作人员这样告诉理财周报记者。
而接下来,携程面临的不仅是引入PCI-DSS标准的技术考验,更是如何重树安全支付信任、重拾消费者信心的问题。
携程安全支付曝漏洞 用户信用卡信息泄密
2014-03-24 北青网-北京青年报
携程昨天对乌云曝光的安全支付漏洞发出回应称,已通知存在潜在风险的93名用户更换信用卡。截至目前,没有发生携程用户信用卡被盗刷的情况。
针对乌云曝光携程安全支付漏洞致信用卡危机问题,携程昨天回应称,已修复该漏洞,经排查93名用户的支付信息存在潜在风险,已通知这些用户更换信用卡。经核实,目前没有出现用户信用卡被盗刷的情况。
3月22日乌云漏洞平台发布消息称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包直接保存在本地服务器,有可能被黑客所读取。对此,携程在声明中称,公司已经展开技术排查,并在两小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
携程安全支付曝漏洞 用户信用卡信息泄密
据介绍,3月22日晚至3月23日,携程已通知存在潜在风险的93名用户更换信用卡。经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况。携程同时承诺,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
不过,对于为何保存用户信用卡CVV码等信息,携程方面没有回应。记者注意到,有不少携程用户担忧自己信用卡被泄密,并表示要去换卡或注销卡。一法律界人士指出,此次漏洞事件中曝出携程保存用户银行卡信息,这个做法欠妥,违反银联的规定。另外,从《消费者权益保护法》看,其技术手段未尽到保护消费者的义务。
业内人士分析,尽管没有造成大的损失,但此次漏洞问题或将对携程品牌有所影响。由于此消息爆出正值周末,尚无法评估此事对携程股价影响。截至21日,纳斯达克挂牌的携程旅行网股价收盘报49.49美元。
携程陷“信用卡信息恶性泄密”危机 引发“支付安全”恐慌
用户信用卡可能出现被盗刷,或被恶意创建第三方支付帐号,绑定信用卡实现境外购物
2014年3月26 南方都市报
一个银行支付的安全漏洞,最终触发了一场全民性的“安全”危机。
上周末,漏洞报告平台乌云在官网上发布消息称,携程旅行网支付日志存在漏洞。携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包括持卡人姓名身份证、银行卡号、C V V码等都有可能被任意骇客读取。虽然携程表示已在事发2小时后修复漏洞,并表示仅仅涉及93名存在潜在风险的携程用户。但事件却引发众多携程注册会员紧张,要求携程解除绑定信用卡,甚至是直接致电银行要求更换信用卡。
这究竟只是一个简单的技术漏洞,还是过度收集用户信息的全民危机?经过了一次又一次的互联网泄密,如今的互联网安全问题搞得人心惶惶,用户的信息安全是否真的不堪一击?
昨天下午,携程发布最新声明,称将不再保存客户的C V V信息,以前保存的那些C V V信息,正在予以删除。
为什么是携程泄密?
主动披露携程漏洞问题的乌云漏洞平台,是一个位于厂商和安全研究者之间的安全问题反馈平台。
3月22日晚间,乌云漏洞平台披露,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
携程安全支付日志可遍历下载,将导致大量用户银行卡信息泄露,其中包含持卡人姓名、身份证、银行卡号、卡C V V码、6位卡B in等。
其后,携程发布声明解释漏洞发生原因,指是因为技术开发人员之前为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前这些信息已被全部删除。经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。
另外,携程客服已于23日通知相关用户更换信用卡。截至3月23日22:00,没有接到携程客服换卡通知的用户,个人信息均是安全的,无需担心。截至目前,未发生携程用户信用卡被盗刷的情况。
不过,携程公开回应的信息似乎并未让众多绑定银行卡的注册会员放心。直至昨天,微博、微信等平台仍充满了“携程上用过的信用卡都不安全了吗”、“在携程用过的信用卡要不要全部换掉?”等疑问。
金山毒霸安全专家李铁军在接受南都记者采访时表示,根据携程和乌云公布的资料来看,用户信息泄露可能导致的结果除了盗刷,还可能可以利用这些信息创建第三方支付帐号,绑定信用卡实现境外购物。一般来说,信用卡具备离线支付功能,这个功能在知道用户的基本信息和CV V代码后就可以实现支付。
根据网友反映,一般来说在携程订票的时候,携程的人工客服会索要信用卡有效期、CV V码等信息,并强调不会储存信用卡卡号信息,之后再次消费就不再索要新的资料,可以直接进行预定。
有银行业的技术负责人向南都记者解释称,2010年携程已与多家银行达成“无卡支付”服务协议,这就意味着用户的该张信用卡如果是首次在携程网使用,在支付生效前需要客户提供全部的信用卡授权所需信息。同时为了方便下次预订,客户可同意携程网保留其信用卡卡号和有效期等信息,在其下次预订时只需提供所存信用卡的卡号后4位,携程网就可根据其当初保留在系统中的信用卡授权信息,执行支付步骤。
采用这种做法的前提是,由于携程等售卖的产品为机票和度假等实名制产品,如果信用卡出现盗刷可以直接追溯到实际消费人。
亦有业内人士向南都记者透露,这种做法在业内较为常见,多家在线旅游服务提供商都会提供“常用卡服务”的选项,初衷是为了方便客户交易。“比如在进行舱位变更的时候,不需要每次更改信息都要求用户重复输入CV V码,方便客户交易。”
但这种存留信息的方式,前提是信息要得到绝对的保护,否则就很可能是风险隐患所在。
携程行为给用户造成巨大风险
携程留下明文日志是否归咎于疏忽暂且不论。目前用户以及业界更为关注的是,携程是否存在过度收集用户信息的行为?
漏洞报告平台乌云发布信息的其中一点是,持卡人的C V V码等可能被任意骇客读取,这其中可能触犯银联此前禁止记录CV V的规定。
CVV 即 Card Verification Value,是由卡号、有效期和服务约束代码生成3位或4位数字,一般写在卡片磁条2磁道用户自定义数据区里面。C V V码是进行网络和电话交易时的安全保障,掌握着卡的交易授权,属于高度机密的用户信息。一般情况下,无需密码支付的方式叫信用卡“离线交易”,仅凭卡号、CV V码等信息即可完成支付。李铁军认为,CV V安全码的重要性相当于用户的签名。
李铁军向南都记者表示,这件事的关键点是“携程是否过度收集用户信息”。“这种记录并不是行规,正常的流程应该是调用银行系统数据,而不是自己记录用户信息。类似用户的C V V码、6位卡B in等,携程应该让用户转到银行专门网站上输入。”
南都记者查阅发现,银联2008年发布的《银联卡收单机构账户信息安全管理标准》的2 .1条显示,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN )及卡片有效期。
此外,支付卡产业数据安全标准(PC I- D SS)中明确规定,C V V、PIN等敏感验证数据属于不允许存储类别。可保存的账户数据只有主账户(PA N )、持卡人姓名、业务码以及失效日。PC I-D SS为第三方支付行业数据安全标准,是由PCI安全标准委员会的创始成员制定,为了使国际上采用一致的数据安全措施。P C I-D S S对于支付网关的安全方面作出标准的要求,作为目前国际上支付卡行业最高级别的安全标准认证,明确禁止成员保存C V V码。
对此,携程在对南都记者的回复中称,携程按照相关银行的支付规定,部分银行用户交易时,需提交CV V信息。若用户未授权,所有相关信息在交易成功后将立即删除。携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。携程的做法,符合PC I-D SS规定。对此,资深互联网分析师王刚认为,携程如果保存用户C V V码,是明显违反P C I- D S S认证规则的行为,给用户造成了巨大的风险。
对于,在用户消费时,携程采用的是否是只需要信用卡卡号、有效期等信息,而不需要密码的支付方式这一问题上。携程方面表示,在牵涉到客户交易的敏感信息方面,会按照最严格的行业规范来确保用户支付安全。
而南都记者查阅发现,目前通过PCI-D SS认证的企业有南方航空、网银在线、支付宝、快钱支付、盛付通、工商银行、民生银行、中信银行等等。同时,携程的竞争对手去哪儿网也通过了P C I-D SS认证,并且号称是目前国内唯一一家通过P C I- D SS认证的旅游预订平台。
如何界定携程责任?
不过,对于此次事件,李铁军建议并不需要过于恐慌。“被记录过CV V的用户必须更换信用卡。但其他用户,现阶段可以注意观察信用卡帐单是否出现异常,注意每一笔交易,如果出现盗刷则需要及时报警、通知银行以及换卡。”
除此之外,携程也承诺,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。但对此,李铁军认为很难证明盗刷与此次信息泄露之间的关系,因为很难追溯盗刷涉及信息的来源。王刚则认为这是一个“空洞的承诺,因为受害用户一般无法明确举证。”
从目前公布的消息来看,漏洞是由白帽子发现,并善意告之携程,让厂商及时修补。因此,事态发展应该正处于控制中。但从另一个角度可以看出,此次泄露的信息,其实全部都保存在信用卡的卡面上,这也意味着只要有人能够顺利获取这些信息并记录下来,理论上就可以实现线上盗刷。
金山毒霸的专家给出建议,称如果刷卡消费时卡片离开自己视线,除了可能被复制,一些关键信息如信用卡号、有效期、姓名、卡背面末三位也可能被记录。因为仅凭这些信息,就足够完成信用卡离线支付。“建议刷卡消费时,应确保卡片在自己视线以内。”专家再提出,如果你的信用卡在黑心的商铺里被复制或者关键信息被记录,他们如果再偷窥得到了你的支付密码,就完全可以在线购物了。“因此,消费者刷卡输入密码时尽量遮挡,防止被不怀好意的骗子偷看到。”
此外,在网购时,要记得如姓名、身份证、卡号、取款密码、登录密码、手机号,C V V码等关键,只能提交给银行系统,而不能提交给其他任何第三方网站。就算对方是银行的工作人员,在电话中、邮件中,也绝不可以提供取款密码和C V V码(卡背面的末三位)。
而腾讯手机管家方面则提出,目前用户在很多电商网站上购买机票的时候都要求用户提供信用卡的CV V码,这也是部分银行对于信用卡支付所做的规定,如何保护好用户的卡号、C V V码,是电商网站必须研究的课题。“如果担心自己的信用卡信息已经遭遇泄露,用户尽快到所在银行进行补卡,以免被人盗刷。”其次,防范“航班取消”诈骗。近日,有大量网友表示,在携程等网站上购买机票后,就收到“航班取消”短信,而回拨短信中的400号码后,被告知需要交纳退票手续费,由于短信内容中的用户姓名、航班号等都能对上号,导致用户放松警惕而遭遇诈骗。因此,监管机构应该严查机票销售网站是否存在出售用户个人信息牟利的情况。同时,广大用户在收到“航班取消”短信后,不要回拨短信中的电话,而是要找到航空公司官方客服电话询问,以免上当受骗。
[业界观点]
●称如果刷卡消费时卡片离开自己视线,除了可能被复制,一些关键信息如信用卡号、有效期、姓名、卡背面末三位也可能被记录。因为仅凭这些信息,就足够完成信用卡离线支付。
●用户信息泄露可能导致的结果除了盗刷,还可能可以利用这些信息创建第三方支付帐号,绑定信用卡实现境外购物。
●携程如果保存用户C V V码,是明显违反PC I- D SS认证规则的行为,给用户造成了巨大的风险。
携程泄密门:系统性问题or偶然操作失误?
2014-03-25 21世纪经济报道
【品橙旅游】上周末,旅游行业里最大的新闻,莫过于携程的信用卡事件引起的“泄密门”,品橙旅游转刊《21世纪经济报道》记者 侯继勇 孟岩峰的一篇报道,以飨读者。当然,作为旅游行业的领军人物和OTA的一面旗帜,品橙旅游希望携程技术和公关部门,能够携手尽快解决后续的问题,继续领军中国OTA。以下为原文:
安全问题会成为互联网时代的大问题,携程信用卡门又一次警醒世人。
周末招商银行的服务电话被人打爆了:很多用户都在咨询自己在携程上做过交易是否需要冻结信用卡?很多人为了安全,选择了先换卡,再冻结信用卡。另有一些用户则在各社交圈子里称“永远不上携程了”。
3月22日晚,漏洞报告平台乌云网披露了携程网安全漏洞信息,漏洞发现者“猪猪侠”称由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意黑客读取。由于携程安全支付日志可以下载,导致大量用户银行卡信息泄露,其中包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等等。
为什么会出现这样的情况?携程相关负责人接受《21世纪经济报道》采访时表示:经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
某企业负责IT安全的人士向《21世纪经济报道》表示,利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为。
另外,携程可能违反了银联此前禁止记录CVC码的规定,有可能面临重罚。
是非国际标准
在携程上有信用卡支付经历的人都知道,初次使用时需提供信用卡卡种、卡号、有效期、CVV码(即信用卡验证码)等一系列完整信息,然后提交支付。但第二次在携程网使用这张信用卡时,只需提供卡号后四位,携程网就会完成这次支付操作。
而CVV几乎是核心信息:如果你把卡号、姓名以及有效期等全部报出,商家如何确认这一张卡确实就在用户手中呢?判断的标准就是能否报出CCV号码。如果通过某种途径截取了用户的姓名身份证、银行卡号、卡CVV码等信息,最严重的后果就是凭借这些全卡信息再复制一张信用卡,在网上或者实体商户消费。
事实上,关于留存CVV码,各个市场执行的标准并不一样,比如在美国,Target、Bestbuy、亚马逊等公司也要求在信用卡支付时留存CVV码,但在中国,银联要求信用卡支付不能留存CVV码。
安全一直是互联网时代的一个大问题。2006年为了应对支付安全, visa、mastercard、AmericanExpress、Discover Financial Services、JCB这全球5大国际卡组织一起创办了PCI安全标准委员会,并制定了一套保护持卡人数据的技术和操作的基本安全要求措施,即PCI DSS标准。
PCI DSS在中国的合作伙伴航天亿展的工作人员对记者表示,PCI DSS是对于支付网关的安全方面作出标准要求,包括安全管理、策略、过程、网络体系结果等等。据介绍,目前国外按照商户年交易量分为四个等级。第一等级是年交易量在600万笔以上的商户必须接入此系统;第二等级为年交易量100万至600万笔,第三等级为年交易量在100万至200万笔,第二等级及第三等级的商户可以请相关的人员到公司去做商务合规,合规商户会拿到相关报告;第四等级则是年交易量在2万笔,并不强制规定。
目前,南航、网银在线、支付宝、快钱及银联等多家公司及第三方支付公司已经接入该认证。航天亿展的工作人员告诉记者,比如支付宝引入该系统,就要求与其接入的大商户都要做PCI DSS认证,“我们的规范会每隔一段时间就更新。”
而在线旅游网站中,只有去哪儿已经引入该认证标准。上述工作人员告诉记者,此前携程曾有意向接入该系统,但是公司工作人员去考察之后发现,携程系统要整改难度太大,业务种类多且交叉多,如果按照该系统接入而整改会使架构都会有所变化。
“并非携程不想做,而是本身技术条件限制,这个在 PCI里也有规定的,可以申请特批。”而对于携程是否做了商务合规,上述工作人员表示并不清楚。
而携程方则回应记者称,该系统并不是强制性的系统,在携程看来,该系统与是否进行网上支付没有任何关联度,只是商业认证资质,并不是行业准入标准,并不能代表任何问题。“就像如果我是做食品的企业,我没有iso9000的认证,就能说我不安全么?”
系统性还是偶然性操作失误?
携程的问题究竟是系统性失误还是偶然操作失误?
携程IT系统完全自建,因为这是一个面向新型互联网业务的系统,十分复杂且超前,超出IBM、SAP、Oracle等传统IT厂商的经验。携程相关负责人解释说:携程IT系统中包括网站系统、在线交易系统、采购系统等子业务系统,从复杂性上来说,能与之比肩的唯有淘宝。
比淘宝更为复杂的是,这些系统需要将从航空公司、酒店集团、线下风景区等供应商那里采购来的产品即时打造成服务方案。先进就是生产力,上述相关负责人说,从某种意义说,携程IT系统是携程核心竞争力之一。
国内类似电商公司大都自建IT系统,如淘宝、京东、凡客等。少部分公司采用引进,比如艺龙,就采用了大股东Expedia在国外的系统。经过在中国市场长时间的实践与磨合,才解决了水土不服的问题。
上述负责人的意思很明显,携程出现的问题是偶然问题,非系统性故障。
携程呼叫中心模式加大了偶然风险出现的机率。一位不愿透露姓名的业内人士告诉《21世纪经济报道》:电话中客服人员会口头索要用户的CVV码,这种采用明码支付的方式,上万个坐席只要有一个想偷钱就会出现巨大的风险。
上述相关负责并不这样认为:携程输入卡号、密码、CVV码等是通过语音留言系统进行,而不是明码支付的方式,客服人员无法直接获得上述信息。即使用户拥有上述信息,盗刷信用卡判刑较严,违法成本很高。
上述业内人士透露:2009年以前,携程服务器并不留存用户CVV码,用户每次购买机票,预定酒店都需要输入CVV码;2009年,当时的携程CEO范敏为了简化操作流程,优化客户体验,拍板决定在携程服务器上留存CVV码。
上述消息人士说,携程现任CEO梁建章上任之后,一心发展携程移动互联网及互联网业务,对于呼叫中心运营中的这一细微变化并不知情。
携程 泄密门 引担忧
电话预订酒店、机票是很多人熟悉的出行方式,但现在支付时个人数据可能被泄漏。日前,携程被曝光因安全支付漏洞导致部分用户银行卡信息外泄引发外界担忧。【详细】
一、用户信息泄露事件层出不穷
1、2012年的CSDN泄密事件
2012年的CSDN泄密事件曾引起广泛反思,即网站不应该用明文存储用户密码信息,北京有关部门甚至还因此向CSDN网运营公司提出了具体整改要求,并做出行政警告处罚。
2、如家、汉庭等大批酒店的客户开房记录泄露
去年10月,乌云发布曾报告称,如家、汉庭等大批酒店的客户开房记录因被第三方存储和系统漏洞而泄露。报告中,乌云曝光了网上下载酒店客户信息的过程,成功下载的客户信息中完整记录了入住酒店旅客的身份证、入住时间、入住的房间号码等隐私信息。
3、携程出现安全漏洞 用户信用卡信息泄露
2014年3月22日,漏洞报告平台乌云网连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意读取,日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。【详细】
二、个人信息泄露引担忧
环球时报:中国人狂购黄金是无处投资憋的
如果“泄密门”发生在这些产品身上,那受害的用户将是海量级别。
据统计,国内已经有200多家企业拿到了第三方支付的牌照,其中目前已经具有规模应用的支付宝里支付宝、财付通、百度钱包、网易宝等。 其中移动支付因其便捷已经吸引了海量的用户,据支付宝官方说法,截至2013年11月支付宝绑定手机客户已经超过1亿人。除掉种种干扰数据,使用微信支付的人数也已经在几千万的量级。
携程“泄密门”暴露便捷支付漏洞
携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。而该信息加密级别并不够高,可以被骇客轻易获取。
便捷支付背后的隐忧是,传统金融行业有非常完善的数据安全标准,互联网金融则以大数据时代为发展背景,其对数据安全和系统稳定性的要求达到前未所有的高度。而现实是承担安全重任的第一责任人仅是从事相关业务的企业主体,目前还未有更严格的标准和制度来做出更多的保障。【详细】
三、信息被泄露消费者如何维权
“我们都不知道是哪泄露了我们的信息,即便知道是什么单位泄露了信息,我们又拿什么去证明?”在记者随机采访的消费者中,普遍认为维权难度大。
个人信息被泄可要求赔偿
新《消法》对于公民个人信息明显加大了保护力度。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时 ,应当立即采取补救措施。
律师:非法泄露或买卖消费者个人信息,依据新《消保法》第56条可以最高处50万元罚款。
四、如何防范个人网络信息泄露
1、手机、电脑等都需要安装安全软件。每天至少进行一次对木马程序的扫描,尤其在使用重要账号密码前。每周定期进行一次病毒查杀,并及时更新安全软件程序;
2、在没有完全弄懂微博等网络应用的使用之前,不要上传有关个人及亲友的敏感信息;
3、如非必要,不要在网络上填写自己的真实信息,可以编写一些固定使用信息在网络上使用。网购快递时,姓名和电话可与朋友交叉使用,地址尽量不要使用自己的住址;
4、室外使用不知名WIFI时,不要使用账号、密码等重要信息;
5、尽量不要使用“保留账号密码可直接登录”的模式,上网后注意清除个人使用记录等。
用户信用卡绑定携程“被泄密” 但携程称未现盗刷
2014-03-25 09:50 广西电视网
前日晚间,国内漏洞研究机构乌云平台曝光称,携程系统开启了用户支付服务接口的调试功能,包括信用卡用户的身份证、卡号、CVV码等信息可能被任意黑客窃取。此报告一出,一石激起千层浪。很多携程用户赶紧到银行解除绑定信用卡。携程昨天最新回应称,乌云所曝信息系此前技术人员未删的临时日志,已在两小时内修复,并已通知93名潜在风险用户更换信用卡并适当补偿,尚未发现携程用户信用卡被盗刷情况。
用户:用携程信用卡泄密?
“一大早刚开机,就收到我爸妈和朋友十几条短信,全是问我绑定携程的信用卡有没有被盗刷。”昨天上午,在一家英语培训机构做讲师的李瑞来到招商银行崇文门网点更换信用卡。他记得,第一次用信用卡在携程网买机票时,需提供信用卡卡种、卡号、有效期、CVV码等完整信息,此后再买的话,只需提供卡号后四位及CVV码就能支付了,“当时我光想着便捷,但没想过携程会储存我的信息,一旦泄露,我可就悲剧了”。
让李瑞紧张的是乌云平台的最新报告。前日晚间,乌云通报称,携程将用于处理用户支付的服务接口开启了调试功能,信用卡用户的身份证、卡号、CVV码等信息有可能被任意黑客读取。
携程是目前国内最大的在线旅游预订机构,这一漏洞消息立即炸开了锅。知名编剧六六也在个人微博上表示:“携程应出详细情况说明,哪些用户受到影响须换卡,还是全部用户,范围有多大。以及风险发生的原因及应对措施,未来还会发生吗?这些问题不解答,用户会紧张。”
携程:让潜在风险用户换卡
风口浪尖的携程选择了积极回应。乌云曝出漏洞后,携程很快回复称,经技术排查在两个小时内修复了漏洞。可能受影响的是3月21日和22日的部分交易客户,将会持续更新调查情况。
昨天下午,携程公布的最新回应表示,经查,这一泄密信息是携程的技术人员此前为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息被全部删除。
那么,这些信息有没有被黑客窃取?携程称,仅漏洞发现人做了少量的测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户,携程昨天已通知他们更换信用卡,并补偿每人500元礼品卡。“截至23日22时,没接到携程客服换卡通知的用户,个人信息均是安全的,无需担心。”
携程还通报称,已和各银行核实确认,并没出现用户信用卡被盗刷的情况。“携程对所有用户信息安全全权负责,如因此产生任何风险及损失,携程将全额赔付承担。”携程方面称,携程还设立了总额500万元的信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。
“携程的官方回复不准确。”广西易搜科技有限公司CEO严茂军对记者说。他是携程的钻石级会员,绑定了三张信用卡。2月25日,其中两张双币种信用卡在卡不离身的情况下被盗刷十几笔。携程客服当时明确说系统绝对安全。“被盗刷了约一万多元人民币。因是白金卡用户,银行给我72小时盗刷赔偿,我自己没损失。携程的安全漏洞也许早就存在了。”不过,记者暂时无法证实严茂军说法的真实性。
疑问:为何保存用户CVV码?
携程的回应并没法平息用户们的质疑。很多用户在携程官方微博下面发问,为什么要存贮用户的CVV等信息?
什么是CVV码?业内人士介绍,信用卡信息主要包含卡号、有效期、CVV码等,其中打印在卡片签名区的3位CVV码又被称作“第二密码”,掌握着该卡的交易授权,即只要提供正确的CVV码,就能完成支付环节。
中国银联风险管理委员会《银联卡收单机构账户信息安全管理标准》要求:“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”
“交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,小时工还知道了关于你家所有的信息。”汽车之家创始人李想第一时间在新浪微博上表示,携程存了无论如何也不该存的CVV码,这相当于把用户信用卡的密码存储并泄漏了。这属于企业的基本道德问题。
昨天下午,携程方面回复称,按相关银行的支付规定,携程的部分银行用户交易时需提交CVV信息。用户在线上线下信用卡下单时,系统会询问是否保留相关信息,用户同意授权的话,携程会保存非CVV信息。未扣款成功的CVV信息会暂存7天,目的是降低用户费力度和协助用户便捷支付。如果用户不同意授权,所有相关信息将在交易成功后立即删除。如果是未扣款成功的交易,将在7天内删除CVV信息。“携程的做法,符合PCI-DSS(第三方支付行业数据安全标准)规定,携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。”
专家建议
用户也可开通短信提醒
中国旅游研究院行业分析师杨彦锋对记者说,目前未发现盗刷案例,表示该漏洞利用的情况不大。但携程的错在于不该存储CVV码。携程在付款过程中需要记录并转发给银行接口用户信息,但是记录日志,破坏了安全性。他建议,如果是近期使用过信用卡支付、卡额度或余额高的携程网用户,建议换卡,也可开通消费短信提示服务,这样及时了解信用卡的消费信息。“这一事件,会造成客户对携程的信赖感下降,尤其是对高端商旅客户的信赖感有影响。”
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|