携程被“信用卡门”卡哪儿了?
携程网在3月22日爆出的信用卡门事件,似乎在和上个周刚开完的315事件相互呼应。互联网安全问题再一次引起大家的重视。话说回来,互联网的安全问题已经存在不是一天两天了,但是近几年由于越来越多支付、购买等金钱相关行为在PC互联网或者移动互联网上操作,安全问题又进入了大众的关注焦点了。
携程网的信用卡门事件到底从技术上是怎么回事呢?
乌云上的猪猪侠在3-22日提交了一个漏洞。漏洞说的是这么两件事情:
首先,携程的将支付接口开启了“调试模式”,调试模式就是为了调试线上的问题,开启之后,把用户的请求在服务端做个日志。目的是为了分析日志来提供线上bug检查等。
本来这个日志是放在携程服务端的,没什么泄露问题。但是偏偏携程保存日志的服务器还存在一个漏洞,可以让人遍历日志目录。
这两个漏洞加起来,就意味着在调试模式开启的过程中的所有用户请求日志都可能被黑客获取到。
那么这个日志里面存储了什么信息呢?由于这个日志是支付接口记录的(或许也有其他的非支付接口),里面包含有持卡人姓名,持卡人身份证,卡号,CVV码,银行6位Bin(用于验证支付信息的6位数字)。这里面最要命的就是CVV码,CVV码是用来验证支付方是否是用户本人的验证码。换句话说,一般使用卡号和CVV码就可以直接付款了。好了,这就意味着,如果有黑客在猪猪侠之前发现这个漏洞,获取到支付日志,那么就可以使用支付日志上别人的卡号和CVV码来付款购买货物了。
3/23日,携程在发现这个漏洞的时候发表声明,说在发现漏洞之后的两个小时,就已经将漏洞修复了。并且在修复之后检查日志下载情况,并没有遭到恶意下载。对涉及存在潜在风险的93名用户,已经告知了。
这个声明的意思就是说,从线上调试模式开启到调试模式关闭中间保存的日志中,只有93名用户有记录,其他用户并没有支付记录。再者,这个日志并没有被其他黑客下载过,也还没有发生信用卡被盗刷事件。
从技术上来说,携程这次错在几个地方
1 不应该在线上开启调试模式来记录用户日志。
对于支付第三方来说,“不应该记录用户的任何隐私信息”这应该是条铁规矩。漏洞出现说明了携程没有完全给内部人员灌输这个概念。我相信开启调试模式的工程师绝对不会考虑到携程还有可以遍历日志的漏洞。
2 不应该有能遍历目录的漏洞。
个人觉得这个漏洞比第一个漏洞可能更为可怕。如果一个服务器上的目录能被遍历,那其中的代码就可能被遍历,代码中有没有保存数据库的密码?黑客从代码中能不能看出一些绕过检测的方法?这些,都可能是问题。
3 不应该明文记录用户的CVV。
但是这个实际上是后话了,在开启调试模式的时候,如果压根就没想到日志会被泄露,根本也就不会考虑到使用密文来记录日志的。
风波远远不止步于此
CCTV,各大TV,各大门户网站都对这个事情做了详细的报导。对于携程来说,可能造成的直接损失有:
1 用户的大量流失
在支付问题上,用户的观点是宁可“错杀一千,不能放过一个”的。这个事件导致携程在用户心目中的信用大打折扣,甚至有极端用户反映“除非没有第二家选择,再也不用携程了。”
2 对手乘势打击
携程的对手,诸如同程、艺龙、去哪儿等首先一定庆幸这个漏洞不是发生在自己身上,在检查自身漏洞之后,下一步就该考虑着如何接收携程流失的用户了。
3 股价影响
这事对携程股价走势影响,看美国周一开盘情况即知。
互联网安全几何?
说句公道话,互联网安全永远都是攻防战。没有绝对的安全。
携程即使是上市公司,也不可能做到100%的无漏洞。举个例子来说,国内QQ已经是非常强大的技术团队了,照样前段时间还出现微信视频门事件。而此家彼家的互联网公司,估摸大致也差不多。对于已经暴露出来的问题,我们已经可以安心,但是对于一些未知的,我们仍然什么也不知道。一家从来没有暴露过安全问题的公司不比一家暴露过安全问题的公司安全到哪里去。
所以说,笔者的观点就是,从用户角度来看,不要只看一个事件而否定一个公司,而要看公司处理事件的态度。从这个信用卡门事件上来看,携程处理的速度和态度还是很可以的。携程提出的“如果有信用卡盗刷,公司全额赔付”,“漏洞悬赏500w”,“发现漏洞两个小时处理”都是切中了用户担心和顾虑的点的。
互联网给我们带来便捷的同时必然带来了安全问题。但是从本质来说,安全问题不只是技术应该要考虑的问题,而应该是技术,制度,信用机制一同发力的问题。企业中对技术、运营等需要制定一系列的规章制度,才能最大程度避免安全问题。当然,这么说已经是很空很大的套话了,具体怎么做还要看各个公司自己的了。