安全問(wèn)題會(huì)成為互聯(lián)網(wǎng)時(shí)代的大問(wèn)題,攜程信用卡門(mén)又一次警醒世人。 周末招商銀行(行情 股吧 買(mǎi)賣(mài)點(diǎn))的服務(wù)電話被人打爆了:很多用戶(hù)都在咨詢(xún)自己在攜程上做過(guò)交易是否需要凍結(jié)信用卡?很多人為了安全,選擇了先換卡,再凍結(jié)信用卡。另有一些用戶(hù)則在各社交圈子里稱(chēng)“永遠(yuǎn)不上攜程了”。 3月22日晚,漏洞報(bào)告平臺(tái)烏云網(wǎng)披露了攜程網(wǎng)安全漏洞信息,漏洞發(fā)現(xiàn)者“豬豬俠”稱(chēng)由于攜程開(kāi)啟了用戶(hù)支付服務(wù)接口的調(diào)試功能,支付過(guò)程中的調(diào)試信息可被任意黑客讀取。由于攜程安全支付日志可以下載,導(dǎo)致大量用戶(hù)銀行(行情 專(zhuān)區(qū))卡信息泄露,其中包含持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin等等。 為什么會(huì)出現(xiàn)這樣的情況?攜程相關(guān)負(fù)責(zé)人接受21世紀(jì)經(jīng)濟(jì)報(bào)道記者采訪時(shí)表示:經(jīng)查,攜程的技術(shù)開(kāi)發(fā)人員之前是為了排查系統(tǒng)疑問(wèn),留下了臨時(shí)日志,因疏忽未及時(shí)刪除,目前,這些信息已被全部刪除。 某企業(yè)負(fù)責(zé)IT安全的人士向21世紀(jì)經(jīng)濟(jì)報(bào)道表示,利用目錄遍歷攻擊漏洞,攻擊者能夠超過(guò)服務(wù)器的根目錄,從而訪問(wèn)到文件系統(tǒng)的其他部分,訪問(wèn)受限制文件或資源,或者采取更危險(xiǎn)行為。 另外,攜程可能違反了銀聯(lián)此前禁止記錄CVC碼的規(guī)定,有可能面臨重罰。 是非國(guó)際標(biāo)準(zhǔn) 在攜程上有信用卡支付經(jīng)歷的人都知道,初次使用時(shí)需提供信用卡卡種、卡號(hào)、有效期、CVV碼(即信用卡驗(yàn)證碼)等一系列完整信息,然后提交支付。但第二次在攜程網(wǎng)使用這張信用卡時(shí),只需提供卡號(hào)后四位,攜程網(wǎng)就會(huì)完成這次支付操作。 而CVV幾乎是核心信息:如果你把卡號(hào)、姓名以及有效期等全部報(bào)出,商家如何確認(rèn)這一張卡確實(shí)就在用戶(hù)手中呢?判斷的標(biāo)準(zhǔn)就是能否報(bào)出CCV號(hào)碼。如果通過(guò)某種途徑截取了用戶(hù)的姓名身份證、銀行卡號(hào)、卡CVV碼等信息,最嚴(yán)重的后果就是憑借這些全卡信息再?gòu)?fù)制一張信用卡,在網(wǎng)上或者實(shí)體商戶(hù)消費(fèi)。 事實(shí)上,關(guān)于留存CVV碼,各個(gè)市場(chǎng)執(zhí)行的標(biāo)準(zhǔn)并不一樣,比如在美國(guó),Target、Bestbuy、亞馬遜等公司也要求在信用卡支付時(shí)留存CVV碼,但在中國(guó),銀聯(lián)要求信用卡支付不能留存CVV碼。 安全一直是互聯(lián)網(wǎng)時(shí)代的一個(gè)大問(wèn)題。2006年為了應(yīng)對(duì)支付安全, visa、mastercard、American Express、Discover Financial Services、JCB這全球五大國(guó)際卡組織一起創(chuàng)辦了PCI安全標(biāo)準(zhǔn)委員會(huì),并制定了一套保護(hù)持卡人數(shù)據(jù)的技術(shù)和操作的基本安全要求措施,即PCI DSS標(biāo)準(zhǔn)。 上海航天億展科技有限公司是PCI DSS在中國(guó)的合作伙伴,該公司于2007年與VISA及建行等將該標(biāo)準(zhǔn)體系引入國(guó)內(nèi)。 航天億展的工作人員對(duì)記者表示,PCI DSS是對(duì)于支付網(wǎng)關(guān)的安全方面作出標(biāo)準(zhǔn)要求,包括安全管理、策略、過(guò)程、網(wǎng)絡(luò)體系結(jié)果等等。據(jù)介紹,目前國(guó)外按照商戶(hù)年交易量分為四個(gè)等級(jí)。第一等級(jí)是年交易量在600萬(wàn)筆以上的商戶(hù)必須接入此系統(tǒng);第二等級(jí)為年交易量100萬(wàn)至600萬(wàn)筆,第三等級(jí)為年交易量在100萬(wàn)至200萬(wàn)筆,第二等級(jí)及第三等級(jí)的商戶(hù)可以請(qǐng)相關(guān)的人員到公司去做商務(wù)合規(guī),合規(guī)商戶(hù)會(huì)拿到相關(guān)報(bào)告;第四等級(jí)則是年交易量在2萬(wàn)筆,并不強(qiáng)制規(guī)定。 目前,南航、網(wǎng)銀在線、支付寶、快錢(qián)及銀聯(lián)等多家公司及第三方支付公司已經(jīng)接入該認(rèn)證。航天億展的工作人員告訴記者,比如支付寶引入該系統(tǒng),就要求與其接入的大商戶(hù)都要做PCI DSS認(rèn)證,“我們的規(guī)范會(huì)每隔一段時(shí)間就更新。” 而在線旅游網(wǎng)站中,只有去哪兒已經(jīng)引入該認(rèn)證標(biāo)準(zhǔn)。上述工作人員告訴記者,此前攜程曾有意向接入該系統(tǒng),但是公司工作人員去考察之后發(fā)現(xiàn),攜程系統(tǒng)要整改難度太大,業(yè)務(wù)種類(lèi)多且交叉多,如果按照該系統(tǒng)接入而整改會(huì)使架構(gòu)都會(huì)有所變化。 “并非攜程不想做,而是本身技術(shù)條件限制,這個(gè)在 PCI里也有規(guī)定的,可以申請(qǐng)?zhí)嘏!倍鴮?duì)于攜程是否做了商務(wù)合規(guī),上述工作人員表示并不清楚。 而攜程方則回應(yīng)記者稱(chēng),該系統(tǒng)并不是強(qiáng)制性的系統(tǒng),在攜程看來(lái),該系統(tǒng)與是否進(jìn)行網(wǎng)上支付沒(méi)有任何關(guān)聯(lián)度,只是商業(yè)認(rèn)證資質(zhì),并不是行業(yè)準(zhǔn)入標(biāo)準(zhǔn),并不能代表任何問(wèn)題?!熬拖袢绻沂亲鍪称?行情 專(zhuān)區(qū))的企業(yè),我沒(méi)有ISO9000的認(rèn)證,就能說(shuō)我不安全么?” 是系統(tǒng)性還是偶然性操作失誤? 攜程的問(wèn)題究竟是系統(tǒng)性失誤還是偶然操作失誤? 攜程IT系統(tǒng)完全自建,因?yàn)檫@是一個(gè)面向新型互聯(lián)網(wǎng)業(yè)務(wù)的系統(tǒng),十分復(fù)雜且超前,超出IBM、SAP、Oracle等傳統(tǒng)IT廠商的經(jīng)驗(yàn)。攜程相關(guān)負(fù)責(zé)人解釋說(shuō):攜程IT系統(tǒng)中包括網(wǎng)站系統(tǒng)、在線交易系統(tǒng)、采購(gòu)系統(tǒng)等子業(yè)務(wù)系統(tǒng),從復(fù)雜性上來(lái)說(shuō),能與之比肩的唯有淘寶。 比淘寶更為復(fù)雜的是,這些系統(tǒng)需要將從航空公司、酒店集團(tuán)、線下風(fēng)景區(qū)等供應(yīng)商那里采購(gòu)來(lái)的產(chǎn)品即時(shí)打造成服務(wù)方案。先進(jìn)就是生產(chǎn)力,上述相關(guān)負(fù)責(zé)人說(shuō),從某種意義說(shuō),攜程IT系統(tǒng)是攜程核心競(jìng)爭(zhēng)力之一。 國(guó)內(nèi)類(lèi)似電商公司大都自建IT系統(tǒng),如淘寶、京東、凡客等。少部分公司采用引進(jìn),比如藝龍,就采用了大股東Expedia在國(guó)外的系統(tǒng)。經(jīng)過(guò)在中國(guó)市場(chǎng)長(zhǎng)時(shí)間的實(shí)踐與磨合,才解決了水土不服的問(wèn)題。上述負(fù)責(zé)人的意思很明顯,攜程出現(xiàn)的問(wèn)題是偶然問(wèn)題,非系統(tǒng)性故障。 攜程呼叫中心模式加大了偶然風(fēng)險(xiǎn)出現(xiàn)的幾率。一位不愿透露姓名的業(yè)內(nèi)人士告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者:電話中客服人員會(huì)口頭索要用戶(hù)的CVV碼,這種采用明碼支付的方式,上萬(wàn)個(gè)坐席只要有一個(gè)想偷錢(qián)就會(huì)出現(xiàn)巨大的風(fēng)險(xiǎn)。 上述相關(guān)負(fù)責(zé)并不這樣認(rèn)為:攜程輸入卡號(hào)、密碼、CVV碼等是通過(guò)語(yǔ)音留言系統(tǒng)進(jìn)行,而不是明碼支付的方式,客服人員無(wú)法直接獲得上述信息。即使用戶(hù)擁有上述信息,盜刷信用卡判刑較嚴(yán),違法成本很高。 上述業(yè)內(nèi)人士透露:2009年以前,攜程服務(wù)器并不留存用戶(hù)CVV碼,用戶(hù)每次購(gòu)買(mǎi)機(jī)票,預(yù)定酒店都需要輸入CVV碼;2009年,當(dāng)時(shí)的攜程CEO范敏為了簡(jiǎn)化操作流程,優(yōu)化客戶(hù)體驗(yàn),拍板決定在攜程服務(wù)器上留存CVV碼。 上述消息人士說(shuō),攜程現(xiàn)任CEO梁建章上任之后,一心發(fā)展攜程移動(dòng)互聯(lián)網(wǎng)及互聯(lián)網(wǎng)業(yè)務(wù),對(duì)于呼叫中心運(yùn)營(yíng)中的這一細(xì)微變化并不知情。(21世紀(jì)經(jīng)濟(jì)報(bào)道)