22日晚间,乌云漏洞平台爆出携程服务器存在信用卡安全支付漏洞,旅游圈(www.dotour.cn)在第一时间联系到该漏洞的发布者猪猪侠,猪猪侠回复称漏洞按正规披露流程已通知厂商携程,该漏洞早已堵上。旅游圈联系携程方面,携程相关负责人给予答复(详见《乌云爆携程安全支付存漏洞 携程称已排查并将重奖发现者》)。22晚23时许,旅游圈发稿后,该漏洞状态已变更为“厂商已经确认”。
最新进展
23日上午,旅游圈(www.dotour.cn)收到携程方面发来的声明,声明全文如下:
携程声明:
93名潜在风险用户已被通知换卡
其余携程用户用卡安全不受影响
3月22日18:18,乌云(Woo Yun)漏洞平台发布消息称:“携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取。”
对此,携程立即展开技术排查,并在两小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。携程客服于今日(3月23日)通知相关用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。截至3月23日22:00,没有接到携程客服换卡通知的用户,个人信息均是安全的,无需担心。为防电话诈骗,请留意携程客服联络呼出电话号码:021-51069999;021-51012299。
3月22日晚至3月23日,携程已通知存在潜在风险的93名用户更换信用卡。经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况。对于此事给广大用户带来的困扰,携程表示诚挚的歉意。携程承诺,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
为了更好地保障用户及网站的安全,携程将广邀信息安全卫士,一起来加固系统信息安全。上周,携程已建立安全应急响应中心(sec.ctrip.com),并设立了总额500万的信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。同时,携程将邀请国际知名信息安全认证机构,来共同保障用户的个人信息安全。
引发公众的质疑与集体担忧
携程信用卡安全支付出现漏洞,这无疑大大刺激了媒体的兴奋性,大量媒体争相报道,其中不乏捕风捉影、耸人听闻的内容,而公众的反应也在意料之中,主要有如下几种:
对影响结果的质疑:携程22日晚间发布的通告称收影响的主要为3月21日与3月22日的部分交易客户,而对具体影响到了多少客户,影响面有多大,尚不清楚,如果能具体给出时间点,或许更令人信服。
对处理结果的质疑:对处理结果的质疑主要在没有及时公布客户如何应对此次漏洞事件可能带来的安全隐患及如何赔偿客户损失方面。23日携程的声明中通知存在潜在风险的93名用户更换信用卡,有网友认为,客户换卡引起的相关费用、换卡期间信用卡停用带来的影响、换卡之后可能引发的信用卡安全方面的风险,携程是否有承担的义务。
对携程支付安全的质疑:汽车之家创始人李想在微博上认为,携程不应该存储客户的CVV信息,需要输入CVV和存储CVV是两个概念。而携程此时或许该站出来,对此有明确的解释。
第三方支付受波及 旅游行业影响巨大
此次漏洞信息报曝光后,各大银行的客服忙不过来了,众多客户纷纷要求更换信用卡。在笔者的朋友圈里,很多在支付宝、微信上绑定信用卡的都表示要取消绑定。而由近四百万粉丝的作家高群书则更离谱,直接在微博上宣称“坚持不用网银,不绑定信用卡,是十分正确的。”公众的质疑与恐慌性情绪可见一斑。
巧合的是,就在昨天,四大行中的工行、农行、中行相继调低了支付宝快捷支付的额度,部分银行的储蓄卡快捷支付限额下调至单笔5千元、每月5万元。虽然调低的是快捷支付额度,但因为安全支付的漏洞出现,难保银行不会以安全风险为由,调低网银及信用卡的第三方网络支付的额度……据媒体报道,腾讯财付通及微信支付不在此次限额调整范围内。
支付限额下调对旅游产品的在线支付肯定有一定影响,影响最大的应该是国内长线与出境产品的在线支付,国内长线与出境产品价格低于5千元的几乎很少很少,也就意味着,如果使用快捷支付,对高于5千元的产品,必须分批次支付至少2次;而对于高于5万元的出境游产品或高端产品,对不起,还几乎没法在线支付完成。据了解,腾讯投资的同程旅游在21日推出的新版APP,已经支持分批次的在线支付。
虽然腾讯投资了同程网,也有传闻称阿里巴巴意欲投资携程,但网络信息安全、风险,依然将影响着在线旅游。更要命的是,就在今天,据媒体报道,斯诺登所泄露的文件显示,美国安局曾经入侵到中国企业华为总部的服务器,并试图取得机密信息,监控通讯。国际巨头华为尚且如此,互联网信息安全越发像是一道虚掩的门,仅能防备身无一技的君子。
关于技术解读
这次媒体的报道,都聚焦在携程安全漏洞,但对安全漏洞后面更深层次的原因,包括技术、环境方面的解读却甚少。小编对这个领域也是一头雾水,眼看着公众一片恐慌。也许前阿里巴巴集团高级安全专家、安全宝联合产品副总裁吴翰清的《关于携程的信用卡信息泄露》这篇文章,从某个技术领域,会让大家更清楚的认识到一些安全事实。以下是文章内容:
可能很多朋友比较关心昨天乌云爆出的携程信用卡信息泄露的漏洞。具体过程我就不赘述了,因为明天肯定是铺天盖地的新闻。媒体是不会放过这样的机会的,虽然他们可能并不了解真正发生了什么。
但媒体的动作却放大了这件事情的负面效应,不知道明天携程的股价会不会因此受影响。
这次的事件很多评论文章都没有提到PCI-DSS标准,其实通过这个简单的维度就可以判断哪篇评论靠谱,哪篇不靠谱。PCI-DSS是「第三方支付行业数据安全标准」,由VISA与MasterCard牵头制定。凡是要做第三方支付业务,想在美国上市,必须要过这个标准。而在PCI-DSS标准中,明确的定义了如何实施数据保护,以及哪些信息是可以保存,哪些信息是不能保存(尤其是明文保存)的(比如CVV等敏感信息)。因此携程这次是明确的违反了PCI-DSS的相关规定。
因为携程在上市的时候肯定是通过了PCI-DSS标准的,由此也可以看出一些安全标准从实施到维持是何等的艰难。而「安全标准」、「合规」的要求现在已经沦落为一门生意,含金量越来越低。实施PCI-DSS的安全公司可能会给客户提交一大堆文档,但真正认真去落地的公司越来越少了。所以通过了安全标准并不意味着什么,只是花钱买了个牌照而已。比如PCI-DSS的要求会产生很多衍生的安全需求,而VISA也投了一些安全公司,他们把这里面的大部分利益给分了。在利益关联之下,对认证的审核必然不会太过严格。
这次的事件按照携程官方的解释是出于调试的目的记录了临时日志,共涉及到93名用户,未发现其他数据泄露。我相信这个漏洞的提交者「猪猪侠」并不会将这部分数据用于恶意用途,因为他在业内的口碑非常好,且如果想这么干,就不会把漏洞提交给乌云了。但携程是否还存在其他问题却不得而知。
对于用户而言,可能会产生恐慌心理而要求银行更换信用卡。但除非你以后不再用网上信用卡支付了,否则类似的问题短期内还是很难避免。我相信还有很多公司比携程做的更糟糕,更缺乏规范,特别是一些还没有上市,没有通过PCI-DSS认证的公司,只是这些问题没有被暴露在阳光下,因此你不知道而已。
对携程来说,这次的事件与其说是技术上的漏洞,不如说是信誉上的危机。同时也让我们看到了安全的重要性:建立用户信任可能需要若干年,毁掉它却只需要一天。
