携程信用卡门背后的是非功过侯继勇的博客
携程“信用卡门”背后的“是非功过” 感谢关注侯继勇同学的微信公众账号i播(iBroadcast)。
欢迎各种捧场拍砖!
安全问题会成为互联网时代的大问题,携程信用卡门又一次警醒世人。
周末招商银行的服务电话被人打爆了,很多携程用户都致电招商银行,由于自己在携程网上做了交易,是不是需要冻结银行信用卡 ?很多人为了安全,选择了先换卡,再冻结信用卡。另有一些用户则在各社交圈子里称“永远不上携程了”。
事情缘起携程安全漏洞信息。 3月23 日,漏洞报告平台乌云网披露了携程网安全漏洞信息,漏洞发现者“猪猪侠”称:由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意骇客读取。
由于携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,其中包含持卡人姓名身份证、银行卡号、卡 CVV码、6 位卡Bin等等。
为什么会出现这样的情况?携程相关负责人接受笔者采访时表示:经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
某企业负责IT 安全的人士向笔者表示,利用目录遍历攻击漏洞,攻击者能够超过服务器的目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为。
另外,携程可能违反了银联此前禁止记录 CVC码的规定,携程可能面临重罚。
是非国际标准
安全一直是互联网时代的一个大问题。 2006年为了应对支付安全,全球 5大国际卡组织创办了PCI安全标准委员会。这些组织分别是 visa、mastercard 、American Express、DiscoverFinancial Services、JCB 等。
五大国际卡组织制定并维护一套保护持卡人数据的技术和操作的基本安全要求措施,即 PCI DSS标准。通过审核并持续维护 PCIDSS标准的合规,可以有效降低网站发生数据泄露的风险,保护支付数据的存储和传输安全。
国际卡组织把用户的信息进了严格分类。比如持卡人、卡号、姓名、有效期等都被分类。“通常,如果只有姓名和卡有效期是无法支付的,一般不用加密。前文负责 IT安全的人士说:卡号和有效期在一起,就必须进行强加密。
而CVV2 几乎是核心信息:如果你把卡号、姓名以及有效期等全部报出,商家如何确认这一张卡确实就在用户手中呢?判断的标准就是能否报出 CCV2号码。按照银联以及PCI DSS标准,在支付行业内 CVV2是绝对不可以被商家保存的。
如果通过某种途径截取了用户的姓名身份证、银行卡号、卡 CVV码等信息,最严重的后果就是完全可以凭借这些全卡信息,再复制一张信用卡在网上或者实体商户都可以进行消费。
在携程有过信用卡支付经历的人,都知道自己初次使用的时候需提供信用卡卡种、卡号、有效期、 CVV2码( 即信用卡验证码 )等一系列完整信息,然后提交支付。但第二次在携程网使用这张信用卡时,只需提供卡号后四位,携程网就会完成这次支付操作。
上述负责IT 安全的人士指出,携程此次泄密犯两个错误:首先用户在支付过程中,是必须要报出 CVV2的,否则无法完成交易;其次,更不该启动日志进行保存,比如有些非敏感信息,如果不用日志而保存在内存里,过段时间就会消失;而骇客要在内存里寻找信息,相对来说也难上加难。
目前,加入PCI DSS 标准的公司包括工商银行、中钞信用卡产业发展有限公司、小米移动软件公司、中国南方航空、去哪儿网、安利(中国)等五家公司,其中并没有携程。上述人士指出,携程这类公司应该加入 PCI标准组织。
携程对此的解释是,PCI DSS标准仅是上述商业公司联盟起来制定的标准,不是国家标准,不是行业标准,也不是市场通行标准,比如航空公司,中国只有南方航空加入了,但包括国航在内的公司并没有加入,携程不加入可以理解。
事实上,关于留存CVV码,各个市场执行的标准并不一样,再比如在美国市场, Target、Best buy 、亚马逊进行信用卡支付时等公司同样要求留存 CVV码,但在中国,银联要求信用卡支付不能留存 CVV码。
功过呼叫中心
在这一事件中,外界关心的是携程的问题是系统性失误还是偶然操作失误。
携程系统完全自建,部分原因是因为携程的 IT系统是一个面向新型互联网业务的系统,十分复杂且超前,超出 IBM、SAP 、Oracle等传统 IT厂商的经验。上述相关负责人解释说:携程 IT系统中包括网站系统,在线交易系统,采购系统等子业务系统,从复杂性上来说,能与之比肩的,唯有阿里集团旗下的淘宝网。
比淘宝更为复杂的是,这些系统需要将从航空公司、酒店集团、线下风景区等供应商那里采购来的产品即时打造成服务方案。先进就是生产力,上述相关负责人说,从某种意义说,携程 IT系统是携程核心竞争力之一。
国内类似电商公司大都采用 IT系统自建,原因与携程相同,比如淘宝、京东、凡客等。少部分公司采用引进,比如易龙,就采用了大股东 expidia在国外的系统,刚刚开始的时候,曾经出现过水土不服的问题。经过在中国市场长时间的实践与磨合,才解决了水土不服的问题。
上述负责人的意思很明显,携程出现的问题是偶然问题,非系统性故障。
携程呼叫中心模式加大了偶然风险出现的机率。一位不愿透露姓名的业内人士对笔者解释说:电话中客服人员会口头索要用户的 CVV码,这种采用明码支付的方式,上万个坐席只要有一个想偷钱就会出现巨大的风险。
上述相关负责并不这样认为:携程输入卡号、密码、 CVV码等是通过语音留言系统进行,而不是明码支付的方式进行,客服务人员无法直接获得上述信息。即使用户拥有上述信息,盗刷信用卡判刑较严,违法成本很高。
上述业内人士透露:2009年以前,携程服务器并不留存用户 CVV码,用户每次购买机票,预定酒店都需要输入 CVV码;2009 年,时任携程 CEO范敏为了简化操作流程,优化客户体验,拍板决定在携程服务器上留存 CVV码。
上述消息人士说:携程现任 CEO梁建章上任之后,一心发展携程移动互联网及互联网业务,对于呼叫中心运营中的这一细微变化并不知情。
上述相关负责人解释说:目前仅有漏洞发现者“猪猪侠”下载了部份日志,涉及 93名用户,而“猪猪侠”是一个白帽黑客,并不会用这些信息进行信用卡复制等犯罪活动。他解释说:此次事件基本上不会出现信用卡盗刷等风险。
此负责人还解释:和各家银行沟通后,未收到用户信用卡被盗刷的情况。
另外,对于这93名用户,携程网已经通过他们对信用卡进行冻结、换卡等处理,并做出相应补偿,携程旅行网给予这 93名用户每人500 元“任我行”礼品卡。