携程,这家国内著名的旅行服务公司近日被推到了风口浪尖。上周六,漏洞报告平台乌云网发布的网络安全报告指出:携程安全支付日志可以遍历下载,导致大量用户的银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。一时间,携程旅行网遭到了用户的“口诛笔伐”。那么,究竟是什么原因导致了此次“隐私泄露门”事件,从中我们又能受到哪些警醒呢?
携程“隐私泄露门”引发网络安全担忧(图片来自新浪科技)
根据乌云的说法,导致该漏洞出现的原因是携程用于用户支付的安全支付服务器接口存在调试功能,可以将用户支付的记录用文本保存下来。不过,由于保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历(沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问)漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
“可被任意骇客读取”,几个字就能说明事件的严重性。更重要的是,除了持卡人的姓名、身份证、银行卡号、6位卡Bin之外,银行卡的CVV码也很有可能被外泄。什么是CVV码?就是信用卡背面签名条后7位斜体数字的末三位,是用来验证支付方是否是用户本人的验证码。换句话说,一般使用卡号和CVV码就可以直接付款了。
虽然携程官方表示相关问题已经解决,但是这家公司却面临着更大的质疑,那就是违规储存了用户的信用卡CVV/CVC(万事达卡的叫法)码信息。中国银联明文规定:各收单机构系统不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。对于第三方支付来说,“不记录用户的任何隐私信息”更是条铁规矩。
业内人士指出,“交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。而存储了用户信用卡的CVV,还泄漏了,前一个是企业的基本道德问题,后一个是安全问题。”
作为国际上支付卡行业最高级别的安全标准认证,PCI SSC由Visa、万事卡、美国运通公司等企业共同创立。该联盟明确禁止成员保存CVV码,否则将予以重罚。携程此前一直在申请、却未通过PCI认证,而我们也无法准确获悉携程内部是否在严格执行PCI的规定。
一般来说,网站的用户密码应该是经过了不可逆的加密保存,而非明文,也就是说数据库后台工程师所看到的密码无法进行任何操作。假设原来用户的密码是“123123”,相应后台的密码就可能是“SDF23KLFAS2323KK4”之类经过复杂算法后得出的暗码。而携程却明文记录了用户的CVV,且线上长时间打开调试功能,导致系统日志中的数据信息也是明文,直接把用户隐私“告诉”了黑客。当然,如果携程提前知道这些信息会被泄露,相信也不可能会用明文记录。
携程曾表示,不会在后台记录用户的支付信息,那么为何如今又“变卦”了呢?简化支付流程,是携程“私下”储存银行卡信息的初衷。虽然政府相关机构明令禁止,但是由于过去几年相安无事,所以携程一直在打着擦边球。然而,事情一旦没兜住,并且还是因为自身原因造成了用户隐私外泄,此时就要承担相应的后果了。表面上是为用户带来了更方便的操作体验,但是背后却是以人们的网络安全作为代价。
“一朝被蛇咬,十年怕井绳”,企业的信用很重要。对于普通用户来说,还能否继续使用携程是个问题。对于携程的对手来说,去哪儿、艺龙等一定很庆幸该漏洞不是发生在自己身上,并可以开始准备接收从携程流失的用户了。受该事件影响,携程股价在周一开盘前的跌幅也达到了11%。
可以说,携程“隐私泄露门”再次引发了人们对于互联网信息安全的思考。如今,用户的身份信息、银行卡等财产数据与第三方支付服务绑定的越来越紧密,相应的,隐私被泄露的风险也在逐步增大。携程为了实现一场“说走就走”的旅行,加快了产品研发过程,简化了用户操作体验,却忽视了隐私安全性。
