3月22日下午,乌云漏洞平台发布消息称,携程系统存在技术漏洞,可导致用户个人信息、银行卡信息等泄露。当晚11点,携程技术人员对漏洞进行确认。23日早上7点,携程官方消息称漏洞已经修补。
据乌云网的说法,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
而携程公关部针对事件原因接受理财周报记者采访时表示:“漏洞是携程技术人员在对某个服务器进行系统问题排查时,留下临时日志未及时删除所致。”
关于技术排查,相关网站技术人员对理财周报记者进行了详细描述:“所有网站在这一点上都是类似的,网站技术人员会定期对每个服务器进行扫描,主要为了发现潜在的漏洞,并进行修补。这种扫描,有些网站由自己完成,也有会通过第三方机构扫描,由他们出具漏洞清单和修补意见。”
这种扫描漏洞的部门又称为信息安全部或者是风险控制部门,在携程内部有独立的信息安全部门专门负责漏洞扫描和排查工作,但此次的漏洞却为第三方平台乌云网所发布。
携程公关部对此向记者表示:“这部分信息也是处于加密状态,即使拿到信息也要通过破解才能读取。”这对黑客而言并非难事。
与此同时,理财周报记者致电另一家OTA企业,在其网站支付时与携程一样无卡无密即可成功。其CEO表示:“我们不是明文保存的,我们是加密保存的,携程这个案例我们也看了,但具体情况不是很清楚。”对于当时未付款的客户信息,也没有规定保存客户敏感信息7天,具体也是由研发和审计法务的风控部门负责。
“拇指”+“水泥”
携程事件只是冰山一角。
无卡无密码便可支付的信用卡支付已是普遍现象。不管你是在携程网,还是在同程网、艺龙网、芒果网等OTA网站,使用信用卡支付时同样只需要卡号、有效期和CVV码,并不需要密码和卡。
“无卡无密这种支付方式是合理存在的,是行业规定的。像酒店预订,以及携程和类似的商旅网站通常会使用。原则上来讲,商旅网站不应该保存CVV等信息,这是违规的,但银行方面不了解网站是不是这样做。”建行信用卡部办公室工作人员肖瑞娟这样告诉理财周报记者。而招行信用卡专员也肯定了这一说法,并称采用这种支付方式的渠道很多,目前无法提供一个完整的列表。国外交易网站大部分也是通过卡号、卡面有效期、背面后三位码就可以完成了。但有些网站需要万事达或VISA验证服务的话,会要求输入查询密码来验证。
但携程的错误在于违规保存客户敏感信息如CVV码等,这明显违背了央行规定。
根据央行《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。
对此,携程方面对理财周报记者表示:“我们将在交易完成后删除客户的CVV信息,不再保存。以前保存的那些CVV信息,正在予以删除。曾经存留的信用卡信息在传输和保存始终处于加密状态,任何未经授权的人员都无法取得这些资料。”
但为什么携程要违规保存客户信用卡的敏感信息呢?
“记录信息处于的思考层面会比较多,方便用户是其中之一,方便自己做一些调试等目的也是有的,但是我们也很难知道它具体还有其他什么目的。可以肯定携程不会自己盗刷用户的卡。按理来说,这些知名的与支付有关的网站是可信的,他们不会做危害用户的行为,只是有些规定并没有执行好,是他们工作上的失误。”国内最早提出网站安全云监测及云防御的北京知道创宇公司研究部总监余弦这样告诉理财周报记者。
此次携程漏洞就是因为开发人员开启了调试,留下了临时日志导致信息有外泄的可能性。开启调试功能对开发人员意味着什么?“因为程序开发中,如果开启了调试功能,则有利于程序员更精准地定位整个支付环节中的一些问题,可能会有利于他们的业务改进。不仅是开发新的产品,包括现有的支付环节,有可能在逻辑上有一些缺陷,比如BUG。调试有利于程序员或者开发人员进一步改进他们的工作。”余弦这样解释道。