用户信用卡信息泄露:携程错哪儿了?
本文作者: 雷科技 联合创始人,廖翔鸿。
昨晚18点18分,乌云网发布一高危等级漏洞,是关于携程网的安全支付漏洞。携程因长时间打开支付服务调试接口,而可能导致用户信用卡信息泄漏。
随后稍晚的时候,乌云网再次发布新的漏洞,携程再次中招,其某分站源代码可打包下载,包括了数据库配置和支付接口信息。
很快信息通过朋友圈,微信群传开了,用户纷纷致电银行要求换卡,相信由于客服一时间接入的电话过多,笔者打了某银行客服,半个小时都无法接通。
一,携程错哪了?
1.首先最错最不道德的是记录不应该记录的用户信息。
本次信用卡信息泄漏了包括用户卡号,身份证号码等,而最引人关注的当属泄漏了卡片的CVV码。CVV码是卡片背面的3位数字,加上卡号和有效期,是用于快捷支付验证的,一直被当作卡片的第二密码。
在《银联卡收单机构账户信息安全管理标准》中看到如下表述:各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。但是携程方面称,按照国际惯例,他们是存储了,这些信息,“公司既然使用这种方式,肯定对风险有足够的把控能力。
呵呵!可惜这次事件给该公司一记响亮的耳光!
2.其次是出乎意料的低级技术错误。
本次漏洞,携程解释是由于支付服务开通了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取,声称2小时收复了漏洞,并且只影响21和22号的用户,称没有为用户带来损失。
从上面的内容可解读出两个信息。
(1)该问题可能在21号就出现,22号被乌云这个第三方公布,被通知后携程2小时才修复漏洞,意味着这个这么危险的漏洞可能差不多维持了2天时间。若没有第三方公布,以该公司的风控能力,不知道啥时候才会自我修复,或许用户依然会被蒙在鼓里,感谢乌云!
(2)公然使用明文记录用户敏感信息。本次漏洞涉及的信用卡数据是一级敏感数据,一旦泄漏将为用户带来严重的损失,稍微有点常识和良心的公司要不不记录,要记录也一定通过加密方式记录,并严格记录一切相关操作记录,更进一步将会定期进行操作审计。而该公司不但将不该记录的信息保存在本地服务器,而且是通过明文的方式保存。不清楚携程内部是如何管理这些数据的,反正笔者作为消费者觉得相当可怕。
3.糟糕的危机公关能力。本次漏洞事件爆发后,笔者获知后第一时间登录携程网,并未看到网站有任何公告,询问了很多朋友都不知道发生了这件事。21点45分,携程才发布公告承认本次事件,在公告中一直强调漏洞修复以及并未为用户带来损失。而用户质疑的记录CVV码问题却只字不提,对于已经致电银行换卡的用户,其所带来的影响损失也并未提及,银行反而躺枪成为代其处理问题,应付客户的质询的地方。
笔者与一些朋友的交流,普遍认为携程本次危机处理得相当糟糕。回避关键问题(CVV码),发布渠道单一(在微博发布,网站没有),对用户缺乏指引等。
二,在线支付安全与监管再次被关注
此次事件让用户对该网站失去了信心,也同时使目光再次集中在在线支付的安全性上。现在在线支付缺乏有效的监管,网站应该记录那些支付数据,如何处理这些数据,并没有法律法规和统一标准。类似的事件虽然是个案,但危害性是相当大的,希望国家能尽快规范行业,这才是在线支付,甚至是互联网金融健康发展的基础。
本次事件不但是携程技术上的漏洞,同时也体现了其很多管理上的问题,影响已经产生,敬告携程一句:互联网时代用户用脚投票,大家都知道去哪儿!