攜程漏洞曝光之後：對話當事白帽駭客

攜程漏洞曝光之後：對話當事白帽駭客上個週末不太平。 3月22日，18點18分。 一個編號為54302的漏洞報告，被曝光在互聯網安全問題回饋平臺烏雲(wooyun.org)之上，發行者是烏雲的核心白帽子駭客豬豬俠。 這份報告表明，攜程的一個漏洞會導致大量使用者銀行卡資訊洩露，而這些資訊可能直接引發盜刷等問題。 這一消息很快通過媒體廣為流傳，關注度甚至超過稍後曝出的另一條新聞《華為總部伺服器遭美國安局入侵》，也超出此前曝光一些看似也很嚴重的漏洞。 一個讓使用者換卡的漏洞這個漏洞是怎麼回事兒？ 據介紹，由於攜程用於處理使用者支付的安全支付伺服器介面存在調試功能，將使用者的支付記錄用文本保存了下來。 同時因為保存支付日誌的伺服器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試資訊可被任意駭客讀取。 所謂遍歷通常是指沿著某條搜索路線，依次對樹中每個結點均做一次且僅做一次訪問。 這一被歸類為敏感資訊洩露的漏洞，被指可能導致大量攜程使用者的資訊曝光，包括：持卡人姓名身份證、銀行卡號、銀行卡CVV碼、6位卡Bin等非常敏感的內容。 攜程官方的解釋為：技術開發人員為了排查系統疑問，留下了臨時日誌，因疏忽未及時刪除。 不過MediaV公司CTO胡甯還是通過微博批評稱：資料傳輸為明文，且線上竟長時間打開調試功能，導致系統日誌中亦為明文，又未及時清理，所存儲的伺服器還有安全性漏洞。 有攜程的同行對新浪科技表示，攜程在無線端有過不是非常安全的做法，這種方式雖然便於使用者操作，但存在一定的安全風險。 而攜程內部人士對新浪科技表示，這是一次意外的安全事故，攜程並非有意保存使用者的相關資訊，出現這樣的問題攜程內部也覺得不可理解。 使用者們更是不可理解。 這次漏洞外泄的資訊，意味著使用者銀行卡的幾乎全部資訊都存在曝光風險，有了這些資訊，信用卡被盜刷可能變成一件易如反掌的事情。 面臨最大風險的，是來自于近期曾經通過攜程無線端有過交易行為的使用者。 攜程並沒有公佈漏洞存在的時間和範圍，所以規避風險的最佳辦法，就是立即聯繫銀行換卡。 據招商銀行信用卡客服透露，這幾天有很多使用者已就攜程漏洞問題致電諮詢，其中大部分已經採取立即登出原有信用卡、另行開通新卡的避險措施。 招商銀行工作人員介紹說，重新製作信用卡需要兩天時間，加上遞送大約需要一周時間，這期間信用卡無法使用。 關鍵事項：CVV與PCI面臨洩露風險的資訊中，CVV更是成為關注的焦點。 CVV(Card Verification Value)也被稱作CVC(Card Validation Code)，資料顯示，這部分資訊是由卡號、有效期和服務約束代碼生成的3位或4位數位，一般寫在卡片磁條的2磁軌使用者自訂資料區裡面。 CVV和CVC的生成方法是一樣的，只是叫法不一樣而已。 這個資訊被用來在交易時進行核對。 CVV在連線交易(刷卡)的時候核對，而在不實際刷卡的交易過程中，這個資訊更是有著決定性的作用。 不過值得詳細說明的是，我們通常在不刷卡的支付過程中，需要提供的資訊其實叫做CVV2，也就是卡片背面簽名檔旁邊的三位數。 作為敏感資訊，CVV2在互聯網支付等不刷卡的交易中，有著明確的處理規定。 根據中國銀聯發佈的《銀行卡收單機構帳戶管理標準》，各收單機構系統只能存儲用於交易清分、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。 磁軌資訊、卡片驗證碼、個人標識代碼、卡片有效期只用于完成銀聯卡交易，不能用於除此之外的任何其他用途。 多家提供線上支付的服務商也對新浪科技表示，在實際操作中會根據相關規定，不會對使用者的相關資訊違規存儲。 與CVV相比，另一個讓攜程面臨指責的英文縮寫是PCI。 PCI，在金融業內通常代指支付卡行業資料安全標準，即PCI-DSS(Payment Card Industry Data Security Standard)。 制定PCI目的是為了優化信用卡，轉帳卡和現金卡交易的安全，保護持卡人的個人資訊，已防被他人利用。