3月22日晚間，烏云漏洞平臺(tái)發(fā)布報(bào)告稱，攜程系統(tǒng)存技術(shù)漏洞，黑客可從中獲取用戶個(gè)人信息、銀行卡號(hào)等信息。隨后，攜程承認(rèn)了漏洞的存在。

　　受漏洞門(mén)事件影響，攜程股價(jià)昨日盤(pán)前一度跌近10%。

　　“攜程對(duì)用戶信息安全沒(méi)誠(chéng)意，趁早換�！币晃痪o急更換了信用卡的用戶表示。一些公司也開(kāi)始停止使用攜程進(jìn)行出差預(yù)訂。

　　“攜程未通過(guò)PCI DSS認(rèn)證，不安全�！币恍�專業(yè)技術(shù)人員表示。

　　攜程“漏洞門(mén)”到底是如何發(fā)生的？攜程犯了哪些錯(cuò)？攜程是否違法違規(guī)了？

　　1攜程違法違規(guī)保存了用戶信用卡CVV碼？

　　攜程未主動(dòng)保存用戶CVV碼，相關(guān)信息的加密強(qiáng)度足以抵御民間的解密嘗試。

　　3月22日18時(shí)許，烏云漏洞平臺(tái)發(fā)布消息稱，攜程將用于處理用戶支付的服務(wù)接口開(kāi)啟了調(diào)試功能，使部分向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。

　　烏云報(bào)告稱，漏洞泄露的信息包括用戶的姓名、身份證號(hào)碼、銀行卡類別、銀行卡卡號(hào)、銀行卡CVV碼(即卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)以及銀行卡6位Bin(用于支付的6位數(shù)字)，有可能被黑客所讀取。

　　我國(guó)《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》規(guī)定，“各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、差錯(cuò)處理所必需的最基本的賬戶信息，不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期�！�

　　攜程表示，已在22日當(dāng)天進(jìn)行技術(shù)排查，并在報(bào)告發(fā)布后的兩小時(shí)內(nèi)修復(fù)了這個(gè)漏洞。經(jīng)查，攜程的技術(shù)開(kāi)發(fā)人員之前是為了排查系統(tǒng)疑問(wèn)，留下了臨時(shí)日志，因疏忽未及時(shí)刪除，目前，這些信息已被全部刪除。

　　對(duì)此，國(guó)內(nèi)某大型在線旅游服務(wù)商技術(shù)工程師告訴新京報(bào)記者，各個(gè)互聯(lián)網(wǎng)公司在處理用戶的交易時(shí)，都需要用戶提交個(gè)人支付信息，但需要對(duì)信息加密以保證安全。存有這些信息的交易日志，會(huì)短期停留于公司系統(tǒng)中，在處理完相關(guān)交易后，系統(tǒng)會(huì)刪除這些信息。如果開(kāi)發(fā)人員需要調(diào)取測(cè)試等，他們看到的數(shù)據(jù)也是加密過(guò)的，并不是直接看到用戶姓名、卡號(hào)、密碼等。

　　中國(guó)黑客教父、COG信息安全組織創(chuàng)建人龔蔚對(duì)新京報(bào)記者表示，從漏洞報(bào)告來(lái)看，攜程技術(shù)人員的疏忽是毋庸置疑的，但攜程并非主動(dòng)保存銀行卡號(hào)等用戶支付數(shù)據(jù)。

　　龔蔚表示，攜程此次的漏洞中，信用卡號(hào)、信用卡有效期、信用卡CVV三位驗(yàn)證碼是經(jīng)過(guò)AES加密后存儲(chǔ)在安全日志中的。在加密密鑰沒(méi)有對(duì)外泄露的情況下，AES的加密強(qiáng)度足以抵御來(lái)自民間的解密嘗試。

　　MediaV CTO，原谷歌技術(shù)總監(jiān)胡寧也認(rèn)為，攜程犯的錯(cuò)在于，敏感信息需加密存儲(chǔ)、線上開(kāi)調(diào)試功能需慎重、系統(tǒng)日志要及時(shí)清理、服務(wù)器安全性要達(dá)標(biāo)，這些都是常識(shí)。

　　2攜程未經(jīng)過(guò)PCI DSS認(rèn)證，所以不安全？

　　即使通過(guò)PCI DSS認(rèn)證也做不到100%的絕對(duì)安全，“但至少體現(xiàn)了一種態(tài)度”。

　　在漏洞門(mén)之后，“PCI DSS”認(rèn)證成為輿論熱詞，眾多網(wǎng)友和媒體質(zhì)疑攜程，并沒(méi)有經(jīng)過(guò)“PCI DSS”認(rèn)證，意味著攜程不安全。

　　據(jù)安全審核機(jī)構(gòu)atsec中國(guó)總經(jīng)理劉巖介紹，“PCI DSS”，中文全稱為支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)。它是由PCI安全標(biāo)準(zhǔn)委員會(huì)的創(chuàng)始成員(visa、mastercard等五大國(guó)際卡組織)制定并維護(hù)的一套保護(hù)持卡人數(shù)據(jù)的技術(shù)和操作的基本安全要求措施。通過(guò)審核并持續(xù)維護(hù)PCI DSS標(biāo)準(zhǔn)的合規(guī)，可以有效降低網(wǎng)站發(fā)生數(shù)據(jù)泄露的風(fēng)險(xiǎn)，保護(hù)支付數(shù)據(jù)的存儲(chǔ)和傳輸安全。據(jù)悉，去哪兒網(wǎng)是目前國(guó)內(nèi)唯一一家通過(guò)該認(rèn)證的旅游預(yù)訂平臺(tái)。

　　但也有人質(zhì)疑PCI的安全性，比如，國(guó)外兩家零售商Target和Neiman Marcus都是PCI DSS標(biāo)準(zhǔn)的合規(guī)企業(yè)，但都遭遇過(guò)黑客入侵，導(dǎo)致信息泄露。

　　對(duì)此，一位專業(yè)技術(shù)人員表示，即使通過(guò)PCI DSS認(rèn)證也做不到100%的絕對(duì)安全，“但至少體現(xiàn)了一種態(tài)度”。

　　3用戶是否需要更換在攜程上用過(guò)的卡？

　　不少意見(jiàn)認(rèn)為，用戶應(yīng)盡快換卡。已有部分公司要求停用攜程進(jìn)行出差預(yù)訂。

　　在漏洞門(mén)發(fā)生之后，雖然攜程稱只有93名用戶存在潛在風(fēng)險(xiǎn)，同時(shí)也承諾賠付，但眾多網(wǎng)友表示準(zhǔn)備換卡或者已經(jīng)換卡。

　　有網(wǎng)友昨日表示，招商銀行的電話都被打爆了，銀行客服在聽(tīng)到“攜程”后，做出了“非常熟練而流利的回應(yīng)”。

　　已經(jīng)緊急換卡的攜程用戶高女士表示，這種低級(jí)錯(cuò)誤說(shuō)明攜程沒(méi)有或者內(nèi)控機(jī)制無(wú)效，或者說(shuō)攜程對(duì)于用戶的個(gè)人信息安全完全沒(méi)有誠(chéng)意，“早晚還得出事兒，不如趁早換卡同時(shí)‘換掉’攜程�！�

　　目前不少業(yè)內(nèi)相關(guān)人士的意見(jiàn)認(rèn)為，攜程用戶應(yīng)盡快換卡。

　　新京報(bào)記者昨日接到爆料，北京漢唐科訊環(huán)保科技公司、萬(wàn)國(guó)教育等公司發(fā)布內(nèi)部郵件，要求停用攜程進(jìn)行出差預(yù)訂。昨日，漢唐科訊工作人員向新京報(bào)記者回應(yīng)，稱停用是屬實(shí)的。萬(wàn)國(guó)教育則未回應(yīng)。

　　4如果信用卡被盜刷用戶能否獲賠？

　　如果用戶信息泄露，企業(yè)負(fù)有賠償責(zé)任。但是損失需要用戶出具證明。

　　攜程表示，未來(lái)如果因安全漏洞引起用戶損失，攜程將承擔(dān)全部責(zé)任并給予賠付。

　　對(duì)此，中國(guó)電子商務(wù)研究中心特約研究員、北京惠誠(chéng)律師事務(wù)所律師趙占領(lǐng)表示，如果用戶信息泄露，按照現(xiàn)行法律，企業(yè)負(fù)有賠償責(zé)任。公司與用戶之間具備合同關(guān)系，有保障用戶信息安全的義務(wù)。如果沒(méi)盡到義務(wù)，需要賠償用戶損失。但是損失需要用戶出具證明，這一點(diǎn)不太容易做到。

　　互聯(lián)網(wǎng)法律專家胡鋼表示，我國(guó)現(xiàn)行的《侵權(quán)責(zé)任法》，2012年全國(guó)人大通過(guò)的《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》以及今年“3·15”剛剛開(kāi)始施行的《消費(fèi)者權(quán)益保護(hù)法(修訂案)》等，均對(duì)網(wǎng)絡(luò)用戶個(gè)人敏感信息的保護(hù)做出了規(guī)定。對(duì)此，網(wǎng)絡(luò)服務(wù)提供商必須采取充足的技術(shù)措施對(duì)用戶信息予以保護(hù)，包括身份證號(hào)碼、支付信息等。

　　胡鋼表示，出售、非法提供、非法竊取個(gè)人信息屬于犯罪行為。如果攜程并不是故意存儲(chǔ)，并不屬于上述行為，也應(yīng)該承擔(dān)未能充分保護(hù)用戶信息的民事責(zé)任。

　　5烏云的“白帽子黑客”是否會(huì)利用漏洞？

　　發(fā)報(bào)告是黑客并沒(méi)有商業(yè)目的，如果想利用漏洞，不會(huì)把報(bào)告發(fā)到烏云上面。

　　“漏洞門(mén)”事件中，漏洞發(fā)布者、烏云平臺(tái)上的牛人“豬豬俠”以及烏云漏洞平臺(tái)也引發(fā)了輿論關(guān)注。

　　據(jù)了解，烏云是一個(gè)廠商和安全研究者之間的安全問(wèn)題反饋平臺(tái)，此前多次發(fā)布國(guó)內(nèi)企業(yè)信息系統(tǒng)的技術(shù)漏洞，包括CSDN、天涯、當(dāng)當(dāng)、京東商城、淘寶、支付寶等。

　　龔蔚表示，烏云平臺(tái)有一套發(fā)布機(jī)制，會(huì)先通知相關(guān)的廠商認(rèn)領(lǐng)漏洞，也算是跟廠商有一種良性互動(dòng)。發(fā)報(bào)告是黑客需要自我價(jià)值認(rèn)可，并不是商業(yè)目的，如果想利用漏洞，也不會(huì)把報(bào)告發(fā)到烏云上面。

　　趙占領(lǐng)表示，烏云發(fā)布報(bào)告的技術(shù)人員，如果沒(méi)有破壞服務(wù)器或入侵服務(wù)器以盜取、謀利，法律并沒(méi)有明確禁止這樣的行為。

　　豬豬俠被稱為烏云大牛，共發(fā)表過(guò)125個(gè)漏洞。昨日，他又拋出“騰訊QQ某控件設(shè)計(jì)缺陷導(dǎo)致可遠(yuǎn)程登錄任意人的QQ賬號(hào)”的漏洞報(bào)告。

　　6國(guó)內(nèi)廠商信息安全保護(hù)水平普遍較低？

　　國(guó)內(nèi)大的廠商安全性都很高，但也有較小的廠商讓人擔(dān)心。

　　龔蔚表示，國(guó)內(nèi)大的廠商安全性都很高，但也有較小的廠商讓人擔(dān)心�，F(xiàn)在應(yīng)該做的，是加強(qiáng)對(duì)已有的信息安全標(biāo)準(zhǔn)的落實(shí)，這方面的監(jiān)管還是欠缺，不夠嚴(yán)格。

　　中央財(cái)經(jīng)大學(xué)中國(guó)銀行業(yè)研究中心主任郭田勇對(duì)新京報(bào)記者表示，我國(guó)的金融、支付機(jī)構(gòu)總體比較健康。郭田勇表示，不僅是互聯(lián)網(wǎng)公司，線下像買(mǎi)房、酒店開(kāi)房等交易，此前也多次暴露出泄露用戶敏感信息的問(wèn)題，這些問(wèn)題屬于內(nèi)部管理或內(nèi)控的問(wèn)題。他認(rèn)為，無(wú)論線上線下，國(guó)家應(yīng)該對(duì)所有涉及公眾信息的企業(yè)嚴(yán)格管理，或出臺(tái)專門(mén)針對(duì)保護(hù)消費(fèi)者個(gè)人信息的法律。

　　本版采寫(xiě)/新京報(bào)記者 趙嘉妮

　　(原標(biāo)題：安全出漏洞攜程遭部分用戶停用)