仲介交易 SEO診斷 淘寶客 雲主機 技術大廳
騰訊科技 范曉東 3月24日報導
攜程旅行網上週末發生的信用卡資訊洩露事件,或為所有正在向無線市場大舉衝刺的企業敲響了警鐘。
3月22日,漏洞報告平臺烏雲網連續披露了兩個攜程網安全性漏洞,漏洞發現者稱由於攜程開啟了使用者支付服務藉口的調試功能,導致攜程安全支付日誌可被任意還可讀取,日誌可以洩露包括持卡人姓名、身份證、銀行卡類別、銀行卡號、 CVV碼等資訊。
攜程此前發佈的官方解釋稱,安全性漏洞是由於技術開發人員為了排查系統疑問而留下了臨時日誌,並由於疏忽未及時刪除。
另據知情人士透露,這次攜程的安全性漏洞,可能並不是在Web網頁上的漏洞導致,而是無線部門在手機APP產品調試過程中,保存了日誌並在Web.config 開了目錄遍歷才出的狀況。 一旦掌握了目錄遍歷,攻擊者能夠超過伺服器的根目錄,從而訪問到檔案系統的其他部分,訪問受限制檔或資源,或者採取更危險行為。
騰訊科技昨日就此諮詢攜程官方,但截至發稿還沒有收到相應回復。 烏雲網聯合創始人孟德則告訴騰訊科技,漏洞雖然官方答覆已經修復,但漏洞仍處於細節保密期(45天),等到漏洞細節公開後才能看到當時的具體情況。
業內分析人士認為,攜程此次使用者資訊洩露事件,可能是無線研發推進過快而變相導致的。 攜程CEO梁建章在去年回歸後的第一個重點就是推出「拇指+水泥」戰略,將更多資源偏向移動互聯網,所有最新的豐富旅遊產品都優先在移動領域嘗試。 梁建章表示,無線用戶端代表的移動互聯網將是攜程突圍的一個關鍵點。 在攜程內部,無線業務亦被因此稱為「二次創業」。
在移動互聯網時代,企業對速度和效率的追求相比PC時代變本加厲,這也使得和企業利益沒那麼緊密的安全問題屢屢被忽略。 孟德也向騰訊科技表示,從以前烏雲上報告的案例情況來看,新興的移動產品開發確實要格外注意隱私安全問題。
CVV碼暫存爭議:是否符合國際安全標準?
此次攜程安全性漏洞的關注焦點,在於攜程是否違規保存了使用者的信用卡CVV/CVC碼資訊。 所謂CVV安全碼,即信用卡背面簽名條後7位斜體數位的末三位,是進行網路和電話交易時的安全特徵,是屬於高度機密的使用者資訊。
汽車之家創始人李想表示,「交易網站存CVV相當於小時工偷偷配了你家的鑰匙,同時,他還知道關於你家所有的資訊。 而存儲了使用者信用卡的CVV,還洩漏了,前一個是企業的基本道德問題,後一個是安全問題。 」
在離線交易模式下,只要掌握信用卡卡號、有效期、卡背上的3位CVV安全碼等便可以完成交易,整個消費過程中不需要通過任何密碼認證。
一位匿名的安全專家告訴騰訊科技,根據烏雲提供的資訊來看,攜程違反了銀聯此前禁止記錄CVC的規定,導致這次的事件並沒有根本上解決風險的可能。 目前使用者只能通過信用卡帳單查詢,才能瞭解自己的銀行卡是否被盜用。
PCI SSC作為目前國際上支付卡行業最高級別的安全標準認證,也明確禁止成員保存CVV碼,否則予以重罰。
對於此次洩露使用者CVV資訊事件,攜程的官方解釋尚有兩個疑點。
首先,攜程為何會保留使用者的CVV資訊、是否違規?攜程官方稱,在使用者授權後,攜程會保存非CVV資訊,而未扣款成功的CVV資訊最多會被暫存7天,目的是為了降低使用者費力度與協助使用者便捷支付,符合PCI-DSS規定, 攜程一直按照國際信用卡支付安全標準要求加密保存信用卡資訊。
但值得注意的是,攜程此前一直在申請、卻未通過PCI認證,我們無法通過協力廠商管道獲取攜程內部究竟是否嚴格執行PCI規定。 對於暫存7天的說法,一位支付行業人士則表示,無論如何,PCI都不允許保留CVV,這是一條鐵律,一旦發現就會懲罰。
MediaV CTO 胡甯認為,攜程可能並未故意存儲CVV資訊,但其資料傳輸為明文,且線上長時間打開調試功能,導致系統日誌中亦為明文,又未及時清理,所存儲的伺服器還有安全性漏洞,導致一錯再錯。
第二,攜程的該安全性漏洞究竟會影響多少使用者?
攜程官方稱,此次受影響的主要為3月21日與3月22日的部分交易客戶,93名潛在風險使用者已被通知換卡,其餘攜程使用者用卡安全不受影響。
烏雲網聯合創始人孟德告訴騰訊科技,攜程該漏洞存在多久、何時出現以及期間是否受到過攻擊造成使用者損失烏雲目前還不知情。
不過,由於對潛在風險的擔憂,在微博、微信朋友圈等社交網路平臺上,已經有諸多使用者表示,其正在向銀行申請更換信用卡。
易搜科技有限公司CEO嚴茂軍在微博上透露,早在2月25日他曾致電攜程其綁定攜程的幾張信用卡被盜刷十幾筆外幣的事件,並懷疑是攜程漏洞造成的。
嚴茂軍告訴騰訊科技,上個月他有2張跟攜程做了綁定的雙幣信用卡被盜刷14筆(大概總共價值1萬元),但攜程官方表示在上週末發生的話才是這件事的受害者——嚴仍然認為自己也是漏洞受害者,但是沒有辦法證明。
「一直以來都有盜刷這個問題,而且也存在很多的洩漏途徑,所以即使以後攜程使用者信用卡出現盜刷事件也很難確認是否與該漏洞有關。 」孟德對此表示。
騰訊科技致電各大銀行信號信用卡中心,都表示還沒有收到攜程官方公告通知具體情況和應對措施,招商銀行和民生銀行信用卡中心工作人員告訴騰訊科技,暫時不了解攜程信用卡資訊洩露相關的具體資訊,但是客戶如果擔心私密資訊被洩露, 會凍結舊卡寄送新的卡片。
此外,還有業內人士表示,攜程為了讓自身服務達到「說走就走」的便捷,讓使用者在電話裡跟客服說出信用卡有效期及CVV2碼等關鍵資訊,也蘊含不小的風險。 當然這種情況不僅限於攜程,許多便捷支付都存在類似的風險。
一位銀聯技術負責人告訴騰訊科技,目前支付主要有兩類,包括訂購類業務和普通互聯網個人業務,其中訂購類業務支付風險較高。
在進行互聯網消費的時候,實際上不同的業務會對消費行為進行不同限制。 一般互聯網支付業務是需要使用者多種驗證的,比如會發送驗證碼短信,使用者需要手工輸入到頁面上完成支付,又或者通過網頁生成的動態密碼完成。
但是對於攜程這類訂購類業務的要求比較寬鬆,因為其能夠追蹤最終受益者。 比如說,使用者購買了飛機票、火車票或者訂酒店,在最終使用的時候仍然需要身份證件作為輔助驗證手段,所以其在支付環節只需要信用卡的CVC碼等資訊就可以完成交易。
安全問題依然是行業普遍隱患
近幾年,各種使用者資訊洩露事件依然層出不窮。
2012年的CSDN洩密事件,曾引起廣泛反思,即網站不應該用明文存儲使用者密碼資訊,北京有關部門甚至還因此向CSDN網運營公司提出了具體整改要求,並做出行政警告處罰。
去年10月,烏雲發佈曾報告稱,如家、漢庭等大批酒店的客戶開房記錄因被協力廠商存儲和系統漏洞而洩露。 報告中,烏雲曝光了網上下載酒店客戶資訊的過程,成功下載的客戶資訊中完整記錄了入住酒店旅客的身份證、入住時間、入住的房間號碼等隱私資訊。
隨著移動互聯網興起,使用者包括身份、銀行財產等相關資料和互聯網應用綁定越來越緊密,洩露風險和威脅越來越大。 而企業為了提高使用者操作和消費便利性,或者為了加快產品開發流程,往往忽略了安全性。
某互聯網上市公司負責人告訴騰訊科技,不管是App還是Wap或Web,都只是產品的前端表現形式,所調用的資料來源必然只有一個。 新產品的上線流程一般是「開發機——內網測試機——發佈員發佈到外網」,每個環節都有QA測試,但在把控不嚴或追求速度的情況下,程式師會臨時去外網修改產品,這麼做非常危險,因為跳過了控制流程、跳過了發佈員(跟產品開發不是一撥人 ),將失去對各環節和安全的控制點。
「現在便捷移動支付前端風險主要是手機中病毒被監聽輸入資料或者移動信號被劫持,這個風險相對而言是容易掌控的,最大最不易掌控的風險出在企業埠,是互聯網級別的資料安全級別能否跟得上金融級別的資料安全的問題。 」某企業技術高管認為。