漏洞报告平台乌云网昨日披露了携程网安全漏洞信息,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,支付过程中的调试信息可被任意骇客读取。
携程网回应称,这次安全漏洞泄露主要原因是携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。经各方证实,尚未发生大规模用户财务损失。
目前,除了漏洞发现人做了少量的测试下载并已全部删除外,并没有出现恶意下载的情况。携程与各大银行已经取得联系,经核实,目前没有出现用户信用卡被盗刷的情况。携程也做出承诺,倘若引起用户损失,携程将全额赔付。
不过,在微博、朋友圈等社交网络平台上,已经有用户表示,其正在向银行申请更换信用卡。
一位匿名的安全专家告诉腾讯科技,根据乌云提供的信息来看,携程可能违反了银联此前禁止记录CVC码的规定,目前用户只能通过信用卡账单查询,才能了解自己的银行卡是否被盗用。
但是,有知名网友“花总丢了金箍棒”在微博上指出,如果信用卡持有者在一周内没有使用过携程的话并不会受到较大影响,而且这次漏洞影响范围不大。
与此前7天等快捷酒店爆出信息泄露不同的是,因为关心钱袋子,所以这才引起了一些用户的紧张。具体来说,此次事件涉及到了用户信用卡的CVC码,即银行信用卡背后的三位验证码,这三位数字会被视为密码或签名。在一些消费场景下,如利用相关信息注册第三方支付帐号后,拥有这个验证码就可以等同用户使用信用卡后签字的过程,交易会被银行认可。
但是,银行会对用户的消费行为进行风险控制。一位银联互联网业务技术负责人告诉腾讯科技,风险控制的方式主要包括安全控件码(网上提示的动态验证码)、动态密码、验证与预留手机号码是否一致,以及其他具体场景的判断,如连续刷卡出现异常交易、设定的交易限额等。
因此,假如此次有骇客盗取了用户信息,他也只能通过手机充值、购买游戏点卡等方式小规模地进行消费,但如果他连续通过信用卡进行这样的消费,会被银行记录和识别。但是这样盗取用户财产的成本会非常的高,所以并不实际。
当然,盗取后也可以注册一些海外电商网站进行消费。不过,这要求信用卡是双币信用卡,才能完成支付,也有很多的门槛。
为什么会是携程爆发?
上述银联技术负责人表示,目前支付主要有两类,包括订购类业务和普通互联网个人业务,其中订购类业务支付风险较低。
在进行互联网消费的时候,实际上不同的业务会对消费行为进行不同限制。一般互联网支付业务是需要用户多种验证的,比如会发送验证码短信,用户需要手工输入到页面上完成支付,又或者通过网页生成的动态密码完成。
但是对于携程这类订购类业务的要求比较宽松,因为其能够追踪最终受益者。比如说,用户购买了飞机票、火车票或者订酒店,在最终使用的时候仍然需要身份证件作为辅助验证手段,所以其在支付环节只需要信用卡的CVC码等信息就可以完成交易。
产生漏洞的原因
那么携程的安全漏洞是怎么造成的?有知情人士透露,携程此次用户信息泄露事件,可能是无线研发推进过快而变相导致的。