本月22日晚,国内网络安全问题反馈平台——乌云漏洞平台发布消息称,由于携程网系统存技术漏洞,用户个人信息、银行卡信息可能会遭泄露。业内分析人士称,携程并没有支付牌照,按规定不允许存储用户银行卡信息,此次事件暴露出相关企业内控机制方面的短板以及部分第三方支付机构风险管理存在隐患,建议有关部门尽快出台保护个人隐私的法律法规,同时对泄露客户信息的机构进行处罚,为在线支付把好“安全阀门”。
综合京华时报记者廖丰平亦凡新华社电
□事件
交易网站违规存CVV码
携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包直接保存在本地服务器,有可能被黑客所读取。携程没有支付牌照,按照规定不允许存储用户银行卡信息,尤其是CVV码(又叫用户识别码,是银行卡进行非面对面交易时用于确认用户身份的识别码,作用类似于密码)。而上述调试接口,通常是携程需要和合作公司调试时才打开,数据包通常会有多种加密功能,即便被下载也很难破译。
据了解,携程合作的银行包括工商银行、中国银行、招商银行、浦发银行等十余家,第三方支付机构包括支付宝、财付通、银联在线等。
携程作为纳斯达克上市的在线第三方支付企业,必须遵守《第三方支付行业数据安全标准》,其中明确规定了如何实施数据保护,以及哪些信息可以保存、哪些信息不能保存,CVV码属于不允许存储的敏感数据。
“交易网站存CVV码,相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。”新浪认证微博、汽车之家创始人李想说,“需要输入CVV码和存储CVV码是两个概念。有些信息可以存,有些信息无论如何也不能存,携程存了无论如何也不该存的CVV码,这相当于把你信用卡的密码存储并泄露了。”
□揭秘
旅游产品支付手段较“宽松”
乌云曝出的携程支付漏洞事件让不少人非常诧异:携程为什么要保存信用卡的CVV码?记者调查发现,这跟旅游产品预订的特性有关。
以机票和酒店为代表的旅游产品,价格随着库存、预订时间实时变化。网购一张机票的流程是,用户查询到一个航班以后,比如看到一张400元3折的机票,用户输入乘机人姓名和身份证点击下一步,然后完成支付,代理商在看到用户完成支付后会凭借这个完整的订单进行出票。但用户填写信息需要一定时间,对网购熟悉的用户完成支付最快会花30秒,慢的则需要1-2分钟,在这过程中,此前的3折票很可能已被航空公司取消或者变价,价格可能涨到了450元,这就出现了支付成功但不出票。
所以说并不是填写完个人信息,点击下一步票就预订成功。如果消费者预订时相关产品库存和价格数据与实时情况相匹配,则预订成功,相关款项也会支付出去。然而,当消费者的预订指令发出后,后台处理往往会出现各种情况,如库存没有了,或者价格涨了,这时候,预订平台就会反馈消费者是否做其他选择或继续预订。为了优化消费者的体验,对于在线旅游网站而言,将消费者的姓名、身份证、信用卡号、CVV码等储存起来,在这种情况下预订反应机制会更灵活,后台系统访问相关数据库回转机制的频率比买实体商品要高。
第三方支付也存储用户信息
从技术上看,旅游产品支付条件“更宽松”,预订旅游产品是不是比普通网购更不安全?一位资深技术人士告诉记者,事实上,包括第三方支付平台也会将消费者的相关数据储存起来。正规的网购平台储存数据后会进行加密,之后数据进入一个密封的管道中,只有和银行对账时,相关数据才会解密。
在预订成功后,数据是如何“保存”下来的呢?其实相关数据此时已在预订后台被删掉,进入到另一个加密的信息储存库(非VCC)中,以便用户日后预订时调出。“携程这次的数据泄露事件,不是信息储存库里的数据泄露了。而是因为携程技术人员将用于处理用户支付的服务接口开启了调试功能,也就是说对预订后台的部分数据解密(包括CVV)进行排查技术上的问题,本来这些数据应该下载到本地日志服务器中(安全性极强,外界无法访问),但这些数据却被放在Web服务器中,可以说是不应该发生的低级错误。”该资深技术人士说。
□提醒
不要在不信任网站填写核心信息
“中国黑客教父”龚蔚表示,携程的本次系统漏洞是由一些小漏洞构成的,单看每一个小漏洞都不严重,但联在一起就变成了“安全事故”。
“事实上,(网站存储)CVV信息是强加密的,即便是黑客也不一定能破解。”龚蔚说,“黑客在盗取此类信息时需要满足三个条件:加密码可破解、长期记录、漏洞没有修复。”
龚蔚表示,第三方支付机构为了能够记录、追踪、调试用户的购买环节,会在程序运行过程中记录用户的个人信息,这是正当行为,但是这样的信息不是每个人都能看到,而且需要加密。一般调试过程都是在虚拟的条件下完成的,并在开发或调试完成之后、上线之前检查所有数据端口是否关闭。
“在线填写的个人信息并不是都加密的,像姓名、身份证号就是明文,银行卡号、CVV码就会强加密。”龚蔚说,“之所以一部分个人信息不加密,是出于资源使用效率和用户体验的考虑,加密要消耗系统资源,并且还需要解密、还原的过程,这样使用起来程序繁多、速度很慢。”
龚蔚建议,企业一定要有安全意识,不能忽略小漏洞。而作为消费者,在选择购买支付网站、填写个人信息时一定要谨慎。“当提交含有身份证号、银行卡号、密码等核心个人信息时,一定不要提交给不信任的网站。一般来说,知名的大网站技术相对成熟,不会出现黑客在网站中直接加入代码,获取用户信息的现象。而诸如小的代购网站,安全性就降低很多。”
此外,龚蔚表示,除非必要,否则不要使用真实的身份,能使用虚拟身份就尽量使用,这样可以减少个人信息泄露。“在网上支付的时候一定要慎重,最好给银行卡设置网购限额、支付短信通知等安全等级保护,一旦银行卡被盗用,可以立刻发现,减少损失。”
□建议
监管部门需强力介入
尽管携程网及时回应了公众质疑,但公众的担忧似乎并未消减。广州一家外贸公司的陈小姐是携程网的忠实用户:“携程网承诺,未来如果因安全漏洞引起用户损失,将承担全部责任并给予赔付。如何界定损失,企业说了算吗?”陈小姐很疑惑。
公开信息显示,到事发为止所有的调查和损失认定工作均由携程网一方进行,并未引入第三方监管机构。业内分析人士坦言,目前国内还没有相关立法对第三方支付机构获取用户信息进行规范管理。
此次携程泄露用户信息反映出在线支付行业不仅要加强行业自律、更需要监管部门强力介入,亟待通过出台明文法规、进行合规性、合法性检查的方式将在线支付纳入到行业监管的大局之下。
中央财经大学银行研究中心主任郭田勇认为,携程泄露用户信息事件暴露出部分第三方支付机构风险管理存在隐患,建议有关部门尽快出台保护个人隐私的法律法规,同时对泄露客户信息的机构进行处罚,严把第三方支付的“安全阀”。