当前位置:首页 > 新闻资讯 > IT业界 > 新闻
携程“信用卡门”拷问互联网信息安全
  • 2014-3-29 17:45:00
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:邓晓进
  • 作者:电脑报记者 熊雯琳
【电脑报在线】3月22日晚间,乌云漏洞平台发布报告称,携程统存技术漏洞,黑客可从中获取用户个人信息、银行卡号等信息。随后,携程方面承认了漏洞的存在,并表示已经通知有潜在风险的93名用户换卡。同时,携程还承诺倘若发生安全漏洞并引起用户损失,携程将予以全额赔付。
  3月22日晚间,乌云漏洞平台发布报告称,携程统存技术漏洞,黑客可从中获取用户个人信息、银行卡号等信息。随后,携程方面承认了漏洞的存在,并表示已经通知有潜在风险的93名用户换卡。同时,携程还承诺倘若发生安全漏洞并引起用户损失,携程将予以全额赔付。
  携程“信用卡门”到底是如何发生的?携程哪些地方做错了?针对这类第三方的订票和在线交易,用户还能否报以信任?互联网如何发达的今天,广大的用户如何在虚拟世界里何保护自己的个人信息和财产安全?
  

  
违反“禁止记录CVV”规定导致泄露?
  一个支付安全漏洞,让知名旅游网站携程网成为众矢之的。事件曝光后,普通消费者一头雾水:原本银行才知道的客户信用卡信息,如何被携程网截留了?不用输密码就可完成的交易,究竟是怎样完成的?
  3月22日18时许,乌云漏洞平台发布消息称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
  乌云报告称,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),有可能被黑客所读取。
  携程表示,已在22日当天进行技术排查,并在报告发布后的两小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
  这么重要的信息为何会被携程“截留”?携程内部人士告诉记者,部分银行用户交易时,需提交CVV信息。用户授权后,携程会保存非CVV信息,若用户未授权,所有相关信息在交易成功后将立即删除。但其中有一种情况比较特殊,就是用户交易支付了但因为各种原因未扣款成功。出现这种情况时,如果用户已经授权而未扣款成功的CVV信息会被暂存7天,目的是为了使得消费者再次支付时快捷方便。
  事实上,关于留存CVV码,各个市场执行的标准并不一样,再比如在美国市场,Target、Best buy 、亚马逊进行信用卡支付时等公司同样要求留存CVV码,但在中国,银联要求信用卡支付不能留存CVV码。
  我国《银联卡收单机构账户信息安全管理标准》规定,“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”
  在某安全公司CEO孙未然看来,CVV码相当于信用卡的第二密码,不应该被存储下来。而从携程的报告来看,携程存储用户的信息有点太多了。“看起来好像是很方便,但实际上为安全留下了隐患。”
  而国内某大型在线旅游服务商技术工程师也表示,对于个人支付信息,互联网公司的处理是必须加密的。这些信息的交易日志会短期停留在公司系统中,在处理完相关交易后,系统会删除这些信息。如果开发人员需要调取测试,看到的数据也是加密过的,并不可能直接看到用户的姓名、卡号、密码等。
  此外,孙未然认为携程在流程上的不合理也导致了这次泄露事件的发生。“一般来说,商业公司应该在内部比较封闭的环境里去做开发和测试,涉及到运营层面应该有一套更安全的流程,将实际运营的环境和开发的环境隔离开。”孙表示。
  MediaV CTO,原谷歌技术总监胡宁也认为,携程犯的错在于,敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这些都是常识。

 

未经过PCI DSS认证,所以不安全?
  涉及到安全无小事。携程“信用卡门”事件后,对于携程这家商业公司的流程和支付资质都成为人们关注的焦点。“PCI DSS”认证成为舆论热词,众多网友和媒体质疑携程,并没有经过“PCI DSS”认证,意味着携程不安全。
  什么是PCI DSS认证?有了这个认证就万无一失了吗?
  根据记者查阅的资料显示,“PCI DSS”,中文全称为支付卡产业数据安全标准。2006年,为了解决支付安全问题,visa、mastercard 、American Express、 Discover Financial Services、JCB 等全球5大国际卡组织创办了PCI安全标准委员会。通过审核并持续维护 PCI DSS标准的合规,可以有效降低网站发生数据泄露的风险,保护支付数据的存储和传输安全。国际卡组织把用户的信息进了严格分类。比如持卡人、卡号、姓名、有效期等都被分类。
  目前,加入PCI DSS 标准的公司包括工商银行、中钞信用卡产业发展有限公司、小米移动软件公司、中国南方航空、去哪儿网、安利(中国)等五家公司,其中并没有携程。
  携程对此的解释是,PCI DSS标准仅是上述商业公司联盟起来制定的标准,不是国家标准,不是行业标准,也不是市场通行标准,比如航空公司,中国只有南方航空加入了,但包括国航在内的公司并没有加入,携程不加入可以理解。
  “即使通过PCI DSS认证也做不到100%绝对安全。”国内一位安全领域的权威人士对本报记者表示,此前,国外两家零售商Target和Neiman Marcus都是PCI DSS标准的合规企业,但都遭遇过黑客入侵,导致信息泄露。
要不要换卡?不换会不会被盗刷?
  3月23日,对于平台漏洞致使用户信用卡信息泄露问题,携程网发布公告,表示漏洞已经修复,而可能存在风险的只有93名携程用户,已经安排换卡。
  尽管如此,记者在社交网站上看到众多用户吐槽表示要换卡,尤其是那些近期在携程订过票的用户表示“很纠结”。
  甚至有网友表示,招商银行的电话都被打爆了,银行客服在听到“携程”后,做出了“非常熟练而流利的回应”。
  一位匿名的安全技术人员对本报记者表示,目前只有信用卡账单以及开通支付短信提醒这两种方式来查看自己的信用卡是否被盗刷。
  如果用户信息泄露,企业负有赔偿责任。但是损失需要用户出具证明。携程表示,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
  对此,中国电子商务研究中心特约研究员、北京惠诚律师事务所律师赵占领表示,如果用户信息泄露,按照现行法律,企业负有赔偿责任。公司与用户之间具备合同关系,有保障用户信息安全的义务。如果没尽到义务,需要赔偿用户损失。但是损失需要用户出具证明,这一点不太容易做到。
  “信用卡的盗刷问题不是第一天存在了,此前就有国际犯罪组织雇佣黑客攻击银行网站盗取信用卡信息,这个产业链价值不菲。”国内安全领域的某权威人士对本报记者表示。
  某股份行信用卡部管理人员崔先生也表示,即使是商业银行也很难完全杜绝信用卡信息泄露,“我们有一个部门专门负责监控,但没有办法完全杜绝,因为银行自己也需要这方面的信息才能完成网上交易,不能排除被黑客截获破解的可能。”
  此外,银行也会对用户的消费行为进行风险控制。一位银联互联网业务技术在接受媒体采访时表示,风险控制的方式主要包括安全控件码(网上提示的动态验证码)、动态密码、验证与预留手机号码是否一致,以及其他具体场景的判断,如连续刷卡出现异常交易、设定的交易限额等。
  因此,假如此次有骇客盗取了用户信息,他也只能通过手机充值、购买游戏点卡等方式小规模地进行消费,但如果他连续通过信用卡进行这样的消费,会被银行记录和识别。但是这样盗取用户财产的成本会非常的高,所以并不实际。当然,双币信用卡被盗取后还可以注册一些海外电商网站进行消费。

国内商业企业安全意识普遍偏低?
  2013年12月,CSDN、天涯社区、当当网、支付宝和京东相继出现数据被泄露事件;更早之前,有媒体曝料,搜狗浏览器也存在危机,使用QQ账号登陆搜狗浏览器,可以查看数千其他用户的个人账号,包括QQ、邮箱、支付宝、银行等涉及用户财产的账户信息,甚至可以直接进入其他人的支付宝进行转账购物乃至直接支付交易。
  CNNIC最新数据显示,2013年因网上支付发生安全问题的网民数占整体上网人数的4.0%,影响人数达2010.6万人。其中,个人信息泄露比例达42.9%,账号密码被盗比例达23.8%。
  在享受互联网与手机带来的便捷之时,人已经“透明”了。层出不穷的新型骗术、花样翻新的黑客木马,无一不在拷问着网络支付安全问题。
   “创新永远伴随着风险,相关机构应提高自身安全技术业务;同时,希望更多宣传和普及用户安全意识教育”华美酒店顾问有限公司首席知识管理专家赵焕焱强调。
  在孙未然看来,几乎每次支付领域的安全事件都是对商业公司的督促,而各个商业公司的安全意识也在逐渐加强。
  中央财经大学中国银行业研究中心主任郭田勇在接受记者采访时表示,我国的金融、支付机构总体比较健康。郭田勇表示,不仅是互联网公司,线下像买房、酒店开房等交易,此前也多次暴露出泄露用户敏感信息的问题,这些问题属于内部管理或内控的问题。他认为,无论线上线下,国家应该对所有涉及公众信息的企业严格管理,或出台专门针对保护消费者个人信息的法律。 
本文出自2014-03-31出版的《电脑报》2014年第12期 A.新闻周刊
(网站编辑:pcw2013)


我来说两句(0人参与讨论)
发表给力评论!看新闻,说两句。
匿名 ctrl+enter快捷提交
读者活动
48小时点击排行
论坛热帖