發行者是烏雲的核心白帽子駭客豬豬俠

3月22日，18點18分。 一個編號為54302的漏洞報告，被曝光在互聯網安全問題回饋平臺烏雲(wooyun.org)之上，發行者是烏雲的核心白帽子駭客「豬豬俠」。 這份報告表明， 攜程的一個漏洞會導致大量使用者銀行卡資訊洩露 ，而這些資訊可能直接引發盜刷等問題。

這一消息很快通過媒體廣為流傳，關注度甚至超過稍後曝出的另一條新聞《 華為總部伺服器遭美國安局入侵 》，也超出此前曝光一些看似也很嚴重的漏洞。

一個讓使用者換卡的漏洞

這個漏洞是怎麼回事兒？ 據介紹，由於攜程用於處理使用者支付的安全支付伺服器介面存在調試功能，將使用者的支付記錄用文本保存了下來。 同時因為保存支付日誌的伺服器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試資訊可被任意駭客讀取。

所謂遍歷通常是指沿著某條搜索路線，依次對樹中每個結點均做一次且僅做一次訪問。 這一被歸類為「敏感資訊洩露」的漏洞，被指可能導致大量攜程使用者的資訊曝光，包括：持卡人姓名身份證、銀行卡號、銀行卡CVV碼、6位卡Bin等非常敏感的內容。

攜程官方的解釋為：技術開發人員為了排查系統疑問，留下了臨時日誌，因疏忽未及時刪除。 不過MediaV公司CTO胡甯還是通過微博批評稱：「資料傳輸為明文，且線上竟長時間打開調試功能，導致系統日誌中亦為明文，又未及時清理，所存儲的伺服器還有安全性漏洞」。

有攜程的同行對新浪科技表示，攜程在無線端有過不是非常安全的做法，這種方式雖然便於使用者操作，但存在一定的安全風險。 而攜程內部人士對新浪科技表示，這是一次「意外」的安全事故，攜程並非有意保存使用者的相關資訊，出現這樣的問題攜程內部也覺得不可理解。

使用者們更是不可理解。 這次漏洞外泄的資訊，意味著使用者銀行卡的幾乎全部資訊都存在曝光風險，有了這些資訊，信用卡被盜刷可能變成一件易如反掌的事情。

面臨最大風險的，是來自于近期曾經通過攜程無線端有過交易行為的使用者。 攜程並沒有公佈漏洞存在的時間和範圍，所以規避風險的最佳辦法，就是立即聯繫銀行換卡。

據招商銀行信用卡客服透露，這幾天有很多使用者已就攜程漏洞問題致電諮詢，其中大部分已經採取立即登出原有信用卡、另行開通新卡的避險措施。 招商銀行工作人員介紹說，重新製作信用卡需要兩天時間，加上遞送大約需要一周時間，這期間信用卡無法使用。

關鍵事項：CVV與PCI

面臨洩露風險的資訊中，CVV更是成為關注的焦點。

CVV(Card Verification Value)也被稱作CVC(Card Validation Code)，資料顯示，這部分資訊是由卡號、有效期和服務約束代碼生成的3位或4位數位， 一般寫在卡片磁條的2磁軌使用者自訂資料區裡面。 CVV和CVC的生成方法是一樣的，只是叫法不一樣而已。

這個資訊被用來在交易時進行核對。 CVV在連線交易(刷卡)的時候核對，而在不實際刷卡的交易過程中，這個資訊更是有著決定性的作用。 不過值得詳細說明的是，我們通常在不刷卡的支付過程中，需要提供的資訊其實叫做CVV2，也就是卡片背面簽名檔旁邊的三位數。

作為敏感資訊，CVV2在互聯網支付等不刷卡的交易中，有著明確的處理規定。

根據中國銀聯發佈的《銀行卡收單機構帳戶管理標準》，各收單機構系統只能存儲用於交易清分、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。 磁軌資訊、卡片驗證碼、個人標識代碼、卡片有效期只用于完成銀聯卡交易，不能用於除此之外的任何其他用途。

多家提供線上支付的服務商也對新浪科技表示，在實際操作中會根據相關規定，不會對使用者的相關資訊違規存儲。 與CVV相比，另一個讓攜程面臨指責的英文縮寫是PCI。

PCI，在金融業內通常代指支付卡行業資料安全標準，即PCI-DSS(Payment Card Industry Data Security Standard)。 制定PCI目的是為了優化信用卡，轉帳卡和現金卡交易的安全，保護持卡人的個人資訊，已防被他人利用。

在此次洩露事件中，有人指責攜程不具備符合PCI標準的資質，並將此歸因於攜程在流程上出問題的原因。 VeryCD創始人戴雲傑就公開質疑攜程：CVV2屬於不應存儲的敏感性資料。 而有獲得PCI資質的攜程同行告訴新浪科技，這個資質申請並不容易，能通過也要耗時一年。

攜程究竟有沒有PCI資質呢？ 官方給出的回應是：攜程的做法，符合PCI-DSS規定。 攜程將進一步嚴格按照PCI-DSS的監管要求執行。

93通電話與1個使用者

當然關於PCI的討論並不是當務之急，也有獲得PCI資質也同樣出事的反例。 對於普通使用者而言，最核心的問題是：我究竟安不安全？

詳細資訊披露的缺乏，讓規模龐大的攜程使用者群體惴惴不安。 官方的說法是：「經攜程排查，僅漏洞發現人做了測試下載，內容含有極少量加密卡號資訊，共涉及93名存在潛在風險的攜程使用者」。 攜程將在23日逐個通知這93名使用者，沒有接到電話則表明「是安全的，無需擔心」。

93這個規模，相對於攜程只能算是極少數。 一位22日在攜程平臺有過交易的使用者對新浪科技表示，並沒有收到來自攜程方面的電話通知。 然而和另幾位近期有過攜程交易的使用者一樣，他們都對個人資訊的安全表達了深度的擔憂，對攜程的信任感也降至最低。

實際上，新浪科技取得聯繫的攜程使用者中，大部分已經採取了換卡的處理方式。

好消息是截至目前，還沒有公開的資訊顯示有攜程使用者因為這一漏洞遭遇損失。 而不好的消息是，攜程資訊洩露的情況，或許在更早之前已經造成傷害。

廣西易搜科技CEO嚴茂軍就是一個案例。 按照這位攜程鑽石卡會員的描述，今年2月25日一早，他的手機相繼出現多條信用卡消費的短信提示，有的以美元結算、有的以英鎊結算、有的以歐元結算，這幾筆扣款合計金額不到人民幣兩萬元。

幾番追究之後，嚴茂軍把懷疑物件鎖定在攜程身上，據他的描述只有和攜程帳號綁定的三張信用卡，在2月25日那天出現了十幾筆盜刷外幣的事件，而其另外的三張信用卡則相安無事。 不過嚴茂軍所提出的質疑，沒有其他更為嚴密的證據能夠證明，也很難讓攜程就此承認。

「我是這幾家銀行白金客戶，擁有72小時賠付，如果不是我的責任被盜刷，我無須自己支付，由白金保險承擔」，在與新浪科技溝通時嚴茂軍說攜程的安全性漏洞或許成為銀行的藉口，他擔心一旦出現問題會有很多非白金的使用者需要自行承擔損失。

一位銀行業內人士也對新浪科技表示，出現盜刷其實很難追究責任。

對話白帽駭客豬豬俠

出現與信用卡有關的漏洞，自然會聯想到與駭客有關的地下產業鏈。

網上關於駭客以及駭客背後暴利生意的報導，多年以來一直廣為流傳。 國內外與駭客有關的資訊盜取事件也層出不窮，例如2011年12月中國最大程式師網站CSDN報案稱遭遇駭客攻擊、600余萬使用者資訊被洩露；去年12月，美國第三大零售商Target的4000萬顧客信用卡資料被盜。

知名互聯網資訊安全專家sunwear在 新浪 微博中表示，駭客圈做信用卡產業很成熟，歐美台日等都是駭客的目標，很多網站都會儲存信用卡的卡號、CVV、到期日等資訊，管道太多攜程只是冰山一角， 雖然很多資料是加密或隱藏資訊但不一定好使。

他還放出一張某駭客位於荷蘭的伺服器中的資訊截圖，「其中的信用卡資料來自中東某航空公司和幾個臺灣網站，總量在700萬條左右，按照駭客圈價格歐洲的卡一張可以做出幾百塊，你們自己想利潤吧。 不過我看到時資料已經放那一年裡，早被洗過了」。

不過並不是所有的駭客都從事這樣的生意。 駭客中有一類被稱為白帽駭客，他們主要利用自己的技術測試網路和系統的性能，並不通過這種方式牟利。

這次披露攜程漏洞的，就是烏雲平臺的核心白帽駭客豬豬俠，在微博上他的ID是一串英文名，而他五位數的QQ使用的又是另一個三字中文名稱。 豬豬俠有著一串驕人的戰績，被他發現漏洞的企業包括：攜程、 騰訊 、 優酷 、 網易 、盛大...... 僅在烏雲披露的漏洞數量已達125個。

在交流中，豬豬俠似乎感受到了某種外在的壓力，他對新浪科技直言近期並不太想針對攜程漏洞一事發表過多的評論，而且目前已經有相關部門介入此事。 此外，他另外在微博上表示：目前本人已經將安全測試涉及到的日誌資訊徹底刪除， 攜程也已經及時修復漏洞。

對於攜程聲稱提供獎勵一事，豬豬俠說他也沒有當真。 實際上，攜程漏洞這件事被關注的程度，並不在豬豬俠的意料之內，他事後總結說可能是因為這個漏洞直接與錢掛鉤。

「真正應該火的是這個漏洞」，豬豬俠給了新浪科技一個連結：

那是一個3月21日，14點10分發布在烏雲平臺，一個編號為54204的漏洞報告。 這份報告顯示，騰訊QQ用戶端某預設安裝空間存在嚴重安全缺陷，駭客可遠端獲取任意好友的ClientKEY；結合另外一個漏洞，即可繞過騰訊單點登陸系統的IP訪問限制，登錄好友的全線QQ業務系統。

包括QQ空間、QQ相冊、QQ郵箱、騰訊微博等。 顯然這中間隱藏著更大的隱私風險，至截稿時，新浪科技就此諮詢騰訊方面尚未獲得回應。