|
3月22日晚間,烏云漏洞平臺發(fā)布報(bào)告稱,系統(tǒng)存技術(shù)漏洞,黑客可從中獲取用戶個(gè)人信息、銀行卡號等信息。隨后,攜程承認(rèn)了漏洞的存在。
受漏洞門事件影響,攜程股價(jià)昨日盤前一度跌近10%。
“攜程對用戶信息安全沒誠意,趁早換。”一位緊急更換了信用卡的用戶表示。一些公司也開始停止使用攜程進(jìn)行出差預(yù)訂。
“攜程未通過PCI DSS認(rèn)證,不安全。”一些專業(yè)技術(shù)人員表示。
攜程“漏洞門”到底是如何發(fā)生的?攜程犯了哪些錯(cuò)?攜程是否違法違規(guī)了?
1攜程違法違規(guī)保存了用戶信用卡CVV碼?
攜程未主動保存用戶CVV碼,相關(guān)信息的加密強(qiáng)度足以抵御民間的解密嘗試。
3月22日18時(shí)許,烏云漏洞平臺發(fā)布消息稱,攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能,使部分向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。
烏云報(bào)告稱,漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼(即卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)以及銀行卡6位Bin(用于支付的6位數(shù)字),有可能被黑客所讀取。
我國《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》規(guī)定,“各收單機(jī)構(gòu)系統(tǒng)只能存儲用于交易清分、差錯(cuò)處理所必需的最基本的賬戶信息,不得存儲銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識代碼(PIN)及卡片有效期。”
攜程表示,已在22日當(dāng)天進(jìn)行技術(shù)排查,并在報(bào)告發(fā)布后的兩小時(shí)內(nèi)修復(fù)了這個(gè)漏洞。經(jīng)查,攜程的技術(shù)開發(fā)人員之前是為了排查系統(tǒng)疑問,留下了臨時(shí)日志,因疏忽未及時(shí)刪除,目前,這些信息已被全部刪除。
對此,國內(nèi)某大型在線旅游服務(wù)商技術(shù)工程師告訴新京報(bào)記者,各個(gè)互聯(lián)網(wǎng)公司在處理用戶的交易時(shí),都需要用戶提交個(gè)人支付信息,但需要對信息加密以保證安全。存有這些信息的交易日志,會短期停留于公司系統(tǒng)中,在處理完相關(guān)交易后,系統(tǒng)會刪除這些信息。如果開發(fā)人員需要調(diào)取測試等,他們看到的數(shù)據(jù)也是加密過的,并不是直接看到用戶姓名、卡號、密碼等。
中國黑客教父、COG信息安全組織創(chuàng)建人龔蔚對新京報(bào)記者表示,從漏洞報(bào)告來看,攜程技術(shù)人員的疏忽是毋庸置疑的,但攜程并非主動保存銀行卡號等用戶支付數(shù)據(jù)。
龔蔚表示,攜程此次的漏洞中,信用卡號、信用卡有效期、信用卡CVV三位驗(yàn)證碼是經(jīng)過AES加密后存儲在安全日志中的。在加密密鑰沒有對外泄露的情況下,AES的加密強(qiáng)度足以抵御來自民間的解密嘗試。
MediaV CTO,原谷歌技術(shù)總監(jiān)胡寧也認(rèn)為,攜程犯的錯(cuò)在于,敏感信息需加密存儲、線上開調(diào)試功能需慎重、系統(tǒng)日志要及時(shí)清理、服務(wù)器安全性要達(dá)標(biāo),這些都是常識。
2攜程未經(jīng)過PCI DSS認(rèn)證,所以不安全?
即使通過PCI DSS認(rèn)證也做不到100%的絕對安全,“但至少體現(xiàn)了一種態(tài)度”。
在漏洞門之后,“PCI DSS”認(rèn)證成為輿論熱詞,眾多網(wǎng)友和媒體質(zhì)疑攜程,并沒有經(jīng)過“PCI DSS”認(rèn)證,意味著攜程不安全。
據(jù)安全審核機(jī)構(gòu)atsec中國總經(jīng)理劉巖介紹,“PCI DSS”,中文全稱為支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)。它是由PCI安全標(biāo)準(zhǔn)委員會的創(chuàng)始成員(visa、mastercard等五大國際卡組織)制定并維護(hù)的一套保護(hù)持卡人數(shù)據(jù)的技術(shù)和操作的基本安全要求措施。通過審核并持續(xù)維護(hù)PCI DSS標(biāo)準(zhǔn)的合規(guī),可以有效降低網(wǎng)站發(fā)生數(shù)據(jù)泄露的風(fēng)險(xiǎn),保護(hù)支付數(shù)據(jù)的存儲和傳輸安全。據(jù)悉,去哪兒網(wǎng)是目前國內(nèi)唯一一家通過該認(rèn)證的旅游預(yù)訂平臺。
但也有人質(zhì)疑PCI的安全性,比如,國外兩家零售商Target和Neiman Marcus都是PCI DSS標(biāo)準(zhǔn)的合規(guī)企業(yè),但都遭遇過黑客入侵,導(dǎo)致信息泄露。
對此,一位專業(yè)技術(shù)人員表示,即使通過PCI DSS認(rèn)證也做不到100%的絕對安全,“但至少體現(xiàn)了一種態(tài)度”。
3用戶是否需要更換在攜程上用過的卡?
不少意見認(rèn)為,用戶應(yīng)盡快換卡。已有部分公司要求停用攜程進(jìn)行出差預(yù)訂。
在漏洞門發(fā)生之后,雖然攜程稱只有93名用戶存在潛在風(fēng)險(xiǎn),同時(shí)也承諾賠付,但眾多網(wǎng)友表示準(zhǔn)備換卡或者已經(jīng)換卡。
有網(wǎng)友昨日表示,招商銀行的電話都被打爆了,銀行客服在聽到“攜程”后,做出了“非常熟練而流利的回應(yīng)”。
已經(jīng)緊急換卡的攜程用戶高女士表示,這種低級錯(cuò)誤說明攜程沒有或者內(nèi)控機(jī)制無效,或者說攜程對于用戶的個(gè)人信息安全完全沒有誠意,“早晚還得出事兒,不如趁早換卡同時(shí)‘換掉’攜程。”
目前不少業(yè)內(nèi)相關(guān)人士的意見認(rèn)為,攜程用戶應(yīng)盡快換卡。
新京報(bào)記者昨日接到爆料,北京漢唐科訊環(huán)保科技公司、萬國教育等公司發(fā)布內(nèi)部郵件,要求停用攜程進(jìn)行出差預(yù)訂。昨日,漢唐科訊工作人員向新京報(bào)記者回應(yīng),稱停用是屬實(shí)的。萬國教育則未回應(yīng)。
4如果信用卡被盜刷用戶能否獲賠?
如果用戶信息泄露,企業(yè)負(fù)有賠償責(zé)任。但是損失需要用戶出具證明。
攜程表示,未來如果因安全漏洞引起用戶損失,攜程將承擔(dān)全部責(zé)任并給予賠付。
對此,中國電子商務(wù)研究中心特約研究員、北京惠誠律師事務(wù)所律師趙占領(lǐng)表示,如果用戶信息泄露,按照現(xiàn)行法律,企業(yè)負(fù)有賠償責(zé)任。公司與用戶之間具備合同關(guān)系,有保障用戶信息安全的義務(wù)。如果沒盡到義務(wù),需要賠償用戶損失。但是損失需要用戶出具證明,這一點(diǎn)不太容易做到。
互聯(lián)網(wǎng)法律專家胡鋼表示,我國現(xiàn)行的《侵權(quán)責(zé)任法》,2012年全國人大通過的《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》以及今年“3·15”剛剛開始施行的《消費(fèi)者權(quán)益保護(hù)法(修訂案)》等,均對網(wǎng)絡(luò)用戶個(gè)人敏感信息的保護(hù)做出了規(guī)定。對此,網(wǎng)絡(luò)服務(wù)提供商必須采取充足的技術(shù)措施對用戶信息予以保護(hù),包括身份證號碼、支付信息等。
胡鋼表示,出售、非法提供、非法竊取個(gè)人信息屬于犯罪行為。如果攜程并不是故意存儲,并不屬于上述行為,也應(yīng)該承擔(dān)未能充分保護(hù)用戶信息的民事責(zé)任。
5烏云的“白帽子黑客”是否會利用漏洞?
發(fā)報(bào)告是黑客并沒有商業(yè)目的,如果想利用漏洞,不會把報(bào)告發(fā)到烏云上面。
“漏洞門”事件中,漏洞發(fā)布者、烏云平臺上的牛人“豬豬俠”以及烏云漏洞平臺也引發(fā)了輿論關(guān)注。
據(jù)了解,烏云是一個(gè)廠商和安全研究者之間的安全問題反饋平臺,此前多次發(fā)布國內(nèi)企業(yè)信息系統(tǒng)的技術(shù)漏洞,包括CSDN、天涯、當(dāng)當(dāng)、京東(滾動資訊)商城、淘寶、支付寶等。
龔蔚表示,烏云平臺有一套發(fā)布機(jī)制,會先通知相關(guān)的廠商認(rèn)領(lǐng)漏洞,也算是跟廠商有一種良性互動。發(fā)報(bào)告是黑客需要自我價(jià)值認(rèn)可,并不是商業(yè)目的,如果想利用漏洞,也不會把報(bào)告發(fā)到烏云上面。
趙占領(lǐng)表示,烏云發(fā)布報(bào)告的技術(shù)人員,如果沒有破壞服務(wù)器或入侵服務(wù)器以盜取、謀利,法律并沒有明確禁止這樣的行為。
豬豬俠被稱為烏云大牛,共發(fā)表過125個(gè)漏洞。昨日,他又拋出“QQ某控件設(shè)計(jì)缺陷導(dǎo)致可遠(yuǎn)程登錄任意人的QQ賬號”的漏洞報(bào)告。
6國內(nèi)廠商信息安全保護(hù)水平普遍較低?
國內(nèi)大的廠商安全性都很高,但也有較小的廠商讓人擔(dān)心。
龔蔚表示,國內(nèi)大的廠商安全性都很高,但也有較小的廠商讓人擔(dān)心。現(xiàn)在應(yīng)該做的,是加強(qiáng)對已有的信息安全標(biāo)準(zhǔn)的落實(shí),這方面的監(jiān)管還是欠缺,不夠嚴(yán)格。
中央財(cái)經(jīng)大學(xué)中國銀行業(yè)研究中心主任郭田勇對新京報(bào)記者表示,我國的金融、支付機(jī)構(gòu)總體比較健康。郭田勇表示,不僅是互聯(lián)網(wǎng)公司,線下像買房、酒店開房等交易,此前也多次暴露出泄露用戶敏感信息的問題,這些問題屬于內(nèi)部管理或內(nèi)控的問題。他認(rèn)為,無論線上線下,國家應(yīng)該對所有涉及公眾信息的企業(yè)嚴(yán)格管理,或出臺專門針對保護(hù)消費(fèi)者個(gè)人信息的法律。 |
您現(xiàn)在的位置: 
