安全出漏洞攜程遭部分用戶停用

　　3月22日晚間，烏云漏洞平臺發(fā)布報告稱，攜程系統(tǒng)存技術(shù)漏洞，黑客可從中獲取用戶個人信息、銀行卡號等信息。隨后，攜程承認(rèn)了漏洞的存在。

　　受漏洞門事件影響，攜程股價昨日盤前一度跌近10%。

　　“攜程對用戶信息安全沒誠意，趁早換�！币晃痪o急更換了信用卡的用戶表示。一些公司也開始停止使用攜程進(jìn)行出差預(yù)訂。

　　“攜程未通過PCI DSS認(rèn)證，不安全�！币恍�專業(yè)技術(shù)人員表示。

　　攜程“漏洞門”到底是如何發(fā)生的？攜程犯了哪些錯？攜程是否違法違規(guī)了？

　　1攜程違法違規(guī)保存了用戶信用卡CVV碼？

　　攜程未主動保存用戶CVV碼，相關(guān)信息的加密強(qiáng)度足以抵御民間的解密嘗試。

　　3月22日18時許，烏云漏洞平臺發(fā)布消息稱，攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能，使部分向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。

　　烏云報告稱，漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼(即卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)以及銀行卡6位Bin(用于支付的6位數(shù)字)，有可能被黑客所讀取。

　　我國《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》規(guī)定，“各收單機(jī)構(gòu)系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗(yàn)證碼、個人標(biāo)識代碼(PIN)及卡片有效期�！�

　　攜程表示，已在22日當(dāng)天進(jìn)行技術(shù)排查，并在報告發(fā)布后的兩小時內(nèi)修復(fù)了這個漏洞。經(jīng)查，攜程的技術(shù)開發(fā)人員之前是為了排查系統(tǒng)疑問，留下了臨時日志，因疏忽未及時刪除，目前，這些信息已被全部刪除。

　　對此，國內(nèi)某大型在線旅游服務(wù)商技術(shù)工程師告訴新京報記者，各個互聯(lián)網(wǎng)公司在處理用戶的交易時，都需要用戶提交個人支付信息，但需要對信息加密以保證安全。存有這些信息的交易日志，會短期停留于公司系統(tǒng)中，在處理完相關(guān)交易后，系統(tǒng)會刪除這些信息。如果開發(fā)人員需要調(diào)取測試等，他們看到的數(shù)據(jù)也是加密過的，并不是直接看到用戶姓名、卡號、密碼等。

　　中國黑客教父、COG信息安全組織創(chuàng)建人龔蔚對新京報記者表示，從漏洞報告來看，攜程技術(shù)人員的疏忽是毋庸置疑的，但攜程并非主動保存銀行卡號等用戶支付數(shù)據(jù)。

　　龔蔚表示，攜程此次的漏洞中，信用卡號、信用卡有效期、信用卡CVV三位驗(yàn)證碼是經(jīng)過AES加密后存儲在安全日志中的。在加密密鑰沒有對外泄露的情況下，AES的加密強(qiáng)度足以抵御來自民間的解密嘗試。

　　MediaV CTO，原谷歌技術(shù)總監(jiān)胡寧也認(rèn)為，攜程犯的錯在于，敏感信息需加密存儲、線上開調(diào)試功能需慎重、系統(tǒng)日志要及時清理、服務(wù)器安全性要達(dá)標(biāo)，這些都是常識。

　　2攜程未經(jīng)過PCI DSS認(rèn)證，所以不安全？

　　即使通過PCI DSS認(rèn)證也做不到100%的絕對安全，“但至少體現(xiàn)了一種態(tài)度”。

　　在漏洞門之后，“PCI DSS”認(rèn)證成為輿論熱詞，眾多網(wǎng)友和媒體質(zhì)疑攜程，并沒有經(jīng)過“PCI DSS”認(rèn)證，意味著攜程不安全。

　　據(jù)安全審核機(jī)構(gòu)atsec中國總經(jīng)理劉巖介紹，“PCI DSS”，中文全稱為支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)。它是由PCI安全標(biāo)準(zhǔn)委員會的創(chuàng)始成員(visa、mastercard等五大國際卡組織)制定并維護(hù)的一套保護(hù)持卡人數(shù)據(jù)的技術(shù)和操作的基本安全要求措施。通過審核并持續(xù)維護(hù)PCI DSS標(biāo)準(zhǔn)的合規(guī)，可以有效降低網(wǎng)站發(fā)生數(shù)據(jù)泄露的風(fēng)險，保護(hù)支付數(shù)據(jù)的存儲和傳輸安全。據(jù)悉，去哪兒網(wǎng)是目前國內(nèi)唯一一家通過該認(rèn)證的旅游預(yù)訂平臺。

　　但也有人質(zhì)疑PCI的安全性，比如，國外兩家零售商Target和Neiman Marcus都是PCI DSS標(biāo)準(zhǔn)的合規(guī)企業(yè)，但都遭遇過黑客入侵，導(dǎo)致信息泄露。

　　對此，一位專業(yè)技術(shù)人員表示，即使通過PCI DSS認(rèn)證也做不到100%的絕對安全，“但至少體現(xiàn)了一種態(tài)度”。

　　3用戶是否需要更換在攜程上用過的卡？

　　不少意見認(rèn)為，用戶應(yīng)盡快換卡。已有部分公司要求停用攜程進(jìn)行出差預(yù)訂。

　　在漏洞門發(fā)生之后，雖然攜程稱只有93名用戶存在潛在風(fēng)險，同時也承諾賠付，但眾多網(wǎng)友表示準(zhǔn)備換卡或者已經(jīng)換卡。

　　有網(wǎng)友昨日表示，招商銀行的電話都被打爆了，銀行客服在聽到“攜程”后，做出了“非常熟練而流利的回應(yīng)”。

　　已經(jīng)緊急換卡的攜程用戶高女士表示，這種低級錯誤說明攜程沒有或者內(nèi)控機(jī)制無效，或者說攜程對于用戶的個人信息安全完全沒有誠意，“早晚還得出事兒，不如趁早換卡同時‘換掉’攜程�！�

　　目前不少業(yè)內(nèi)相關(guān)人士的意見認(rèn)為，攜程用戶應(yīng)盡快換卡。

　　新京報記者昨日接到爆料，北京漢唐科訊環(huán)�？萍脊�司、萬國教育等公司發(fā)布內(nèi)部郵件，要求停用攜程進(jìn)行出差預(yù)訂。昨日，漢唐科訊工作人員向新京報記者回應(yīng)，稱停用是屬實(shí)的。萬國教育則未回應(yīng)。

　　4如果信用卡被盜刷用戶能否獲賠？

　　如果用戶信息泄露，企業(yè)負(fù)有賠償責(zé)任。但是損失需要用戶出具證明。

　　攜程表示，未來如果因安全漏洞引起用戶損失，攜程將承擔(dān)全部責(zé)任并給予賠付。

　　對此，中國電子商務(wù)研究中心特約研究員、北京惠誠律師事務(wù)所律師趙占領(lǐng)表示，如果用戶信息泄露，按照現(xiàn)行法律，企業(yè)負(fù)有賠償責(zé)任。公司與用戶之間具備合同關(guān)系，有保障用戶信息安全的義務(wù)。如果沒盡到義務(wù)，需要賠償用戶損失。但是損失需要用戶出具證明，這一點(diǎn)不太容易做到。

　　互聯(lián)網(wǎng)法律專家胡鋼表示，我國現(xiàn)行的《侵權(quán)責(zé)任法》，2012年全國人大通過的《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》以及今年“3·15”剛剛開始施行的《消費(fèi)者權(quán)益保護(hù)法(修訂案)》等，均對網(wǎng)絡(luò)用戶個人敏感信息的保護(hù)做出了規(guī)定。對此，網(wǎng)絡(luò)服務(wù)提供商必須采取充足的技術(shù)措施對用戶信息予以保護(hù)，包括身份證號碼、支付信息等。

　　胡鋼表示，出售、非法提供、非法竊取個人信息屬于犯罪行為。如果攜程并不是故意存儲，并不屬于上述行為，也應(yīng)該承擔(dān)未能充分保護(hù)用戶信息的民事責(zé)任。

　　5烏云的“白帽子黑客”是否會利用漏洞？

　　發(fā)報告是黑客并沒有商業(yè)目的，如果想利用漏洞，不會把報告發(fā)到烏云上面。

　　“漏洞門”事件中，漏洞發(fā)布者、烏云平臺上的牛人“豬豬俠”以及烏云漏洞平臺也引發(fā)了輿論關(guān)注。

　　據(jù)了解，烏云是一個廠商和安全研究者之間的安全問題反饋平臺，此前多次發(fā)布國內(nèi)企業(yè)信息系統(tǒng)的技術(shù)漏洞，包括CSDN、天涯、當(dāng)當(dāng)、京東商城、淘寶、支付寶等。

　　龔蔚表示，烏云平臺有一套發(fā)布機(jī)制，會先通知相關(guān)的廠商認(rèn)領(lǐng)漏洞，也算是跟廠商有一種良性互動。發(fā)報告是黑客需要自我價值認(rèn)可，并不是商業(yè)目的，如果想利用漏洞，也不會把報告發(fā)到烏云上面。

　　趙占領(lǐng)表示，烏云發(fā)布報告的技術(shù)人員，如果沒有破壞服務(wù)器或入侵服務(wù)器以盜取、謀利，法律并沒有明確禁止這樣的行為。

　　豬豬俠被稱為烏云大牛，共發(fā)表過125個漏洞。昨日，他又拋出“騰訊QQ某控件設(shè)計缺陷導(dǎo)致可遠(yuǎn)程登錄任意人的QQ賬號”的漏洞報告。

　　6國內(nèi)廠商信息安全保護(hù)水平普遍較低？

　　國內(nèi)大的廠商安全性都很高，但也有較小的廠商讓人擔(dān)心。

　　龔蔚表示，國內(nèi)大的廠商安全性都很高，但也有較小的廠商讓人擔(dān)心�，F(xiàn)在應(yīng)該做的，是加強(qiáng)對已有的信息安全標(biāo)準(zhǔn)的落實(shí)，這方面的監(jiān)管還是欠缺，不夠嚴(yán)格。

　　中央財經(jīng)大學(xué)中國銀行業(yè)研究中心主任郭田勇對新京報記者表示，我國的金融、支付機(jī)構(gòu)總體比較健康。郭田勇表示，不僅是互聯(lián)網(wǎng)公司，線下像買房、酒店開房等交易，此前也多次暴露出泄露用戶敏感信息的問題，這些問題屬于內(nèi)部管理或內(nèi)控的問題。他認(rèn)為，無論線上線下，國家應(yīng)該對所有涉及公眾信息的企業(yè)嚴(yán)格管理，或出臺專門針對保護(hù)消費(fèi)者個人信息的法律。

　　本版采寫/新京報記者 趙嘉妮