3月22日晚間,烏雲漏洞平台發布報告稱,攜程系統存技術漏洞,黑客可從中獲取用戶個人信息、銀行卡號等信息。隨后,攜程承認了漏洞的存在。
受漏洞門事件影響,攜程股價昨日盤前一度跌近10%。
“攜程對用戶信息安全沒誠意,趁早換。”一位緊急更換了信用卡的用戶表示。一些公司也開始停止使用攜程進行出差預訂。
“攜程未通過PCI DSS認証,不安全。”一些專業技術人員表示。
攜程“漏洞門”到底是如何發生的?攜程犯了哪些錯?攜程是否違法違規了?
1攜程違法違規保存了用戶信用卡CVV碼?
攜程未主動保存用戶CVV碼,相關信息的加密強度足以抵御民間的解密嘗試。
3月22日18時許,烏雲漏洞平台發布消息稱,攜程將用於處理用戶支付的服務接口開啟了調試功能,使部分向銀行驗証持卡所有者接口傳輸的數據包均直接保存在本地服務器。
烏雲報告稱,漏洞泄露的信息包括用戶的姓名、身份証號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼(即卡號、有效期和服務約束代碼生成的3位或4位數字)以及銀行卡6位Bin(用於支付的6位數字),有可能被黑客所讀取。
我國《銀聯卡收單機構賬戶信息安全管理標准》規定,“各收單機構系統隻能存儲用於交易清分、差錯處理所必需的最基本的賬戶信息,不得存儲銀行卡磁道信息、卡片驗証碼、個人標識代碼(PIN)及卡片有效期。”
攜程表示,已在22日當天進行技術排查,並在報告發布后的兩小時內修復了這個漏洞。經查,攜程的技術開發人員之前是為了排查系統疑問,留下了臨時日志,因疏忽未及時刪除,目前,這些信息已被全部刪除。
對此,國內某大型在線旅游服務商技術工程師告訴新京報記者,各個互聯網公司在處理用戶的交易時,都需要用戶提交個人支付信息,但需要對信息加密以保証安全。存有這些信息的交易日志,會短期停留於公司系統中,在處理完相關交易后,系統會刪除這些信息。如果開發人員需要調取測試等,他們看到的數據也是加密過的,並不是直接看到用戶姓名、卡號、密碼等。
中國黑客教父、COG信息安全組織創建人龔蔚對新京報記者表示,從漏洞報告來看,攜程技術人員的疏忽是毋庸置疑的,但攜程並非主動保存銀行卡號等用戶支付數據。
龔蔚表示,攜程此次的漏洞中,信用卡號、信用卡有效期、信用卡CVV三位驗証碼是經過AES加密后存儲在安全日志中的。在加密密鑰沒有對外泄露的情況下,AES的加密強度足以抵御來自民間的解密嘗試。
MediaV CTO,原谷歌技術總監胡寧也認為,攜程犯的錯在於,敏感信息需加密存儲、線上開調試功能需慎重、系統日志要及時清理、服務器安全性要達標,這些都是常識。
2攜程未經過PCI DSS認証,所以不安全?
即使通過PCI DSS認証也做不到100%的絕對安全,“但至少體現了一種態度”。
在漏洞門之后,“PCI DSS”認証成為輿論熱詞,眾多網友和媒體質疑攜程,並沒有經過“PCI DSS”認証,意味著攜程不安全。
據安全審核機構atsec中國總經理劉岩介紹,“PCI DSS”,中文全稱為支付卡產業數據安全標准。它是由PCI安全標准委員會的創始成員(visa、mastercard等五大國際卡組織)制定並維護的一套保護持卡人數據的技術和操作的基本安全要求措施。通過審核並持續維護PCI DSS標准的合規,可以有效降低網站發生數據泄露的風險,保護支付數據的存儲和傳輸安全。據悉,去哪兒網是目前國內唯一一家通過該認証的旅游預訂平台。
但也有人質疑PCI的安全性,比如,國外兩家零售商Target和Neiman Marcus都是PCI DSS標准的合規企業,但都遭遇過黑客入侵,導致信息泄露。
對此,一位專業技術人員表示,即使通過PCI DSS認証也做不到100%的絕對安全,“但至少體現了一種態度”。
3用戶是否需要更換在攜程上用過的卡?
不少意見認為,用戶應盡快換卡。已有部分公司要求停用攜程進行出差預訂。
在漏洞門發生之后,雖然攜程稱隻有93名用戶存在潛在風險,同時也承諾賠付,但眾多網友表示准備換卡或者已經換卡。
有網友昨日表示,招商銀行的電話都被打爆了,銀行客服在聽到“攜程”后,做出了“非常熟練而流利的回應”。
已經緊急換卡的攜程用戶高女士表示,這種低級錯誤說明攜程沒有或者內控機制無效,或者說攜程對於用戶的個人信息安全完全沒有誠意,“早晚還得出事兒,不如趁早換卡同時‘換掉’攜程。”
目前不少業內相關人士的意見認為,攜程用戶應盡快換卡。
新京報記者昨日接到爆料,北京漢唐科訊環保科技公司、萬國教育等公司發布內部郵件,要求停用攜程進行出差預訂。昨日,漢唐科訊工作人員向新京報記者回應,稱停用是屬實的。萬國教育則未回應。
4如果信用卡被盜刷用戶能否獲賠?
如果用戶信息泄露,企業負有賠償責任。但是損失需要用戶出具証明。
攜程表示,未來如果因安全漏洞引起用戶損失,攜程將承擔全部責任並給予賠付。
對此,中國電子商務研究中心特約研究員、北京惠誠律師事務所律師趙佔領表示,如果用戶信息泄露,按照現行法律,企業負有賠償責任。公司與用戶之間具備合同關系,有保障用戶信息安全的義務。如果沒盡到義務,需要賠償用戶損失。但是損失需要用戶出具証明,這一點不太容易做到。
互聯網法律專家胡鋼表示,我國現行的《侵權責任法》,2012年全國人大通過的《加強網絡信息保護的決定》以及今年“3·15”剛剛開始施行的《消費者權益保護法(修訂案)》等,均對網絡用戶個人敏感信息的保護做出了規定。對此,網絡服務提供商必須採取充足的技術措施對用戶信息予以保護,包括身份証號碼、支付信息等。
胡鋼表示,出售、非法提供、非法竊取個人信息屬於犯罪行為。如果攜程並不是故意存儲,並不屬於上述行為,也應該承擔未能充分保護用戶信息的民事責任。
5烏雲的“白帽子黑客”是否會利用漏洞?
發報告是黑客並沒有商業目的,如果想利用漏洞,不會把報告發到烏雲上面。
“漏洞門”事件中,漏洞發布者、烏雲平台上的牛人“豬豬俠”以及烏雲漏洞平台也引發了輿論關注。
據了解,烏雲是一個廠商和安全研究者之間的安全問題反饋平台,此前多次發布國內企業信息系統的技術漏洞,包括CSDN、天涯、當當、京東商城、淘寶、支付寶等。
龔蔚表示,烏雲平台有一套發布機制,會先通知相關的廠商認領漏洞,也算是跟廠商有一種良性互動。發報告是黑客需要自我價值認可,並不是商業目的,如果想利用漏洞,也不會把報告發到烏雲上面。
趙佔領表示,烏雲發布報告的技術人員,如果沒有破壞服務器或入侵服務器以盜取、謀利,法律並沒有明確禁止這樣的行為。
豬豬俠被稱為烏雲大牛,共發表過125個漏洞。昨日,他又拋出“騰訊QQ某控件設計缺陷導致可遠程登錄任意人的QQ賬號”的漏洞報告。
6國內廠商信息安全保護水平普遍較低?
國內大的廠商安全性都很高,但也有較小的廠商讓人擔心。
龔蔚表示,國內大的廠商安全性都很高,但也有較小的廠商讓人擔心。現在應該做的,是加強對已有的信息安全標准的落實,這方面的監管還是欠缺,不夠嚴格。
中央財經大學中國銀行業研究中心主任郭田勇對新京報記者表示,我國的金融、支付機構總體比較健康。郭田勇表示,不僅是互聯網公司,線下像買房、酒店開房等交易,此前也多次暴露出泄露用戶敏感信息的問題,這些問題屬於內部管理或內控的問題。他認為,無論線上線下,國家應該對所有涉及公眾信息的企業嚴格管理,或出台專門針對保護消費者個人信息的法律。
本版採寫/新京報記者 趙嘉妮
(原標題:安全出漏洞攜程遭部分用戶停用)