您當前位置:公告欄>>企業公告
攜程泄密門是怎麽發生的
時間:2014-03-24 11:02    

  上個周末攜程惹上了大事,被曝出安全支付日志漏洞,導致用戶信用卡信息可能泄露。

  漏洞提交者烏雲平台稱,攜程將用于處理用戶支付的服務接口開啓了調試功能,使所有向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器。同時因爲保存支付日志的服務器未做校嚴格的基線安全配置,存在目錄遍曆漏洞,導致所有支付過程中的調試信息可被任意駭客讀取。這些信息包括持卡人姓名、身份證、銀行卡類別、銀行卡號、CVV碼,6位Bin。

  該漏洞說明通俗理解是說,攜程將銀行卡數據包保存在本地,同時支付日志存在安全漏洞,數據信息可以被陌生人下載。

  這其中有兩個疑點:攜程爲什麽要保存用戶銀行卡信息?支付日志爲什麽會存在安全漏洞?

  攜程在回應中解釋:技術開發人員之前爲了排查系統疑問,留下了臨時日志,因疏忽未及時刪除。但是對于第一個疑問,攜程並沒有給出解釋。

  攜程無法進行更多的解釋,因爲存儲銀行卡信息這件事攜程已經默默地幹了好多年了。此處必須公正地說,攜程這麽做並非處于歹意,相反是效仿國外信用卡支付方式簡化支付流程,但是這一做法在國內必然有打擦邊球之嫌,因爲根據銀聯的規定,受理終端不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。

  早在2010年,攜程便與多家銀行達成無卡支付服務(簡稱“CNP(Card Not Present)”交易)協議,根據協議,如果用戶的該張信用卡是首次在攜程網使用,則在支付生效前需要客戶提供全部的信用卡授權所需信息。如果客戶已在攜程網使用過該張信用卡,且爲了方便下次預訂,同意攜程網保留其信用卡卡號和有效期等信息,則在其下次預訂時只需提供所存信用卡的卡號後4位,攜程網就會根據其當初保留在系統中的信用卡授權信息,執行支付步驟;出于安全考慮,攜程網會要求客戶額外提供CVV碼加以驗證。

  這種支付方式類似于亞馬遜的“一鍵支付”,用戶只需要首次使用的時候在亞馬遜賬戶中綁定信用卡信息,往後並可以直接購買支付,而不需要輸入密碼。“一鍵支付”有其安全驗證體系,其中重要的一種方式是,匹配收貨地址,也就是說如果有人盜用你的信用卡信息進行購買,最終的貨品還是寄給了你,否則他更改地址的同時必須重新提交信用卡信息。

  回到攜程,因爲機票和度假等産品均爲實名制産品,如出現信用卡在攜程網被盜用的情況,是可以直接追溯到實際消費人的。

  只需要信用卡卡號、有效期等信息,而不需要密碼的支付方式在國外很常見,比如你購買Hulu的包月服務後,你甚至不需要每次確認支付,Hulu每月會自動從你的信用卡中扣款。

  但是國內的信用卡使用環境和使用習慣與國外差異巨大,所以攜程這種無卡支付方式被用戶和媒體質疑已經不是新鮮事了,比如2010年《長江商報》報道的《攜程網真邪門!沒有密碼也能用信用卡訂機票》,2013年東南網報道的《攜程網上買機票無需密碼即可信用卡支付 網友質疑安全性》,2014年中國網報道的《攜程網被疑儲存用戶信用卡信息 存在泄露風險》。攜程對質疑的解釋總是“符合國際慣例”,“客戶信用卡信息的傳輸和保存始終處于加密狀態”。

  沒錯,按照攜程的解釋,雖然打著擦邊球,過去幾年也一直相安無事,直到上個周末。即使攜程按照國際慣例使用無卡支付服務可以理解,但是由于自身漏洞將用戶信息至于暴露狀態就不可原諒了。據馮大輝小道消息爆料,此次漏洞是攜程無線部門在手機APP産品調試過程中,保存了日志並在Web.config 開了目錄遍曆才出的狀況。難道是太過于著急無線端的産品開發才如此不小心?

  最後不得不吐槽一下攜程的危機公關,連發3篇回應都遮遮掩掩,越抹越黑,讓用戶的擔心和憤怒越積越多。明明白白地講清楚怎麽回事不行嗎?