中国IDC圈3月24日报道:漏洞报告平台乌云网3月22日披露了携程网安全漏洞信息,“由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取”。
因为从事的是互联网业,周围的人对这次携程用户银行卡泄密事件都相当敏感,不怕一万就怕万一,第一时间致电发卡银行,请求更换信用卡或挂失,可能是接入用户过多,打招商银行客服电话还遭遇占线,这是以前从未遇到过的,可见,此事涉及面之广。
在乌云披露该信息后,携程官方表示,两个小时内已经进行修复问题。
泄密事件到底有多严重?
尽管乌云漏洞平台在报告时措辞比较专业,但“可被任意骇客读取”几个字消费者还是懂的,这也是恐慌的根源。那么到底该如何评估这次泄密事件的严重性呢?基本判断有四点,第一,这次携程泄密事件与2012年CSDN泄密事件有所不同,CSDN泄密是历史数据库泄露,服务器被入侵,而这次携程泄密不涉及数据卡被泄的问题,只是正在支付的数据,才有被黑客盗取的可能;
第二,但是这次携程泄密比CSDN泄密事件后果要严重,因为CSDN泄露的并非金融数据,只是网站注册的邮箱、用户名、密码等,但携程泄密的则是用户的银行卡信息,比如携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息都可能遭外泄,这也是为什么很多用户会急着更换信用卡。因为现在网络信用卡支付流程已经非常简单,比如在美国亚马逊网站海淘,注册用户输入信用卡号,CVV码既能成功消费,连密码都不用,相关信息一旦被动,很可能会造成严重损失,之前也有媒体报道,携程网会员在多次购买支付酒店或机票价款后,只需提供卡号后四位及CVV2码,携程网就会完成下一次支付操作;
第三,尽管只是漏洞出现后曾经在携程网用银行卡消费过的用户有可能被泄密,但携程网这个漏洞到底存在多长时间目前还搞不清楚,携程称该漏洞受影响的用户为“近期的部分交易客户”,但这个近期到底是多久,几天,几个月,还是一年?
2012年CSDN泄密事件,引起广泛反思的,就是网站不应该用明文存储用户密码信息,北京警方甚至还因此向CSDN网运营公司提出了具体整改要求,并做出行政警告处罚。教训如此严重,没过多久,携程再犯这种错误,实在不该。
携程的三次声明
3月22日晚上20点左右官方微博第一次声明:
相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现。 对于此次漏洞事件如果有新的进展将持续通报。
3月23日早上7点,官方声明第二条发出。
3月23日下午14点左右,第三条声明。
3月23日的17点,携程微博发布公告称,将给予这93名用户每人500元任我行礼品卡作为补偿。相关人员我们已经提前联系完毕。
漏洞发布者ringzero今天15点在微博上说,大家对于信用卡相关话题的反应有点过于敏感了,目前本人已经将安全测试涉及到的日志信息彻底删除,而且卡号等敏感信息有加密, 携程也已经及时修复漏洞,相关信息并没有被传播。
携程官方问答
问题1:网站出现漏洞是不是意味着信息泄露?
携程:不是的。乌云是一个漏洞发布平台,聚集了国内很多技术高手在这里交流和发布网站和软件的漏洞,并提交给相关企业进行补救。这种平台已经有了非常成熟的模式,而众多知名网站都会有相应的漏洞在这里交流。此次携程被发现短期漏洞并在第一时间进行补救,理论上基本不大会有影响,同时,有漏洞也不意味着就会有用户信息被泄露。
问题2:携程用户是否需要更换信用卡?
携程:根据携程披露的信息,3月22日晚至23日,携程已通知可能存在潜在风险的93名用户更换信用卡,其余广大用户在携程使用的个人信用卡信息均是安全的,可继续放心使用。根据这一消息,携程已经做到了对数据的完整排查,并明确的调取出被下载的样本日志的详细信息,如果用户没有收到携程的换卡提醒,便大可安心。
问题3:携程为何会保留用户的CVV信息?
携程:携程按照相关银行的支付规定,部分银行用户交易时,需提交CVV信息。用户授权后,携程会保存非CVV信息,而未扣款成功的CVV信息会被暂存7天,目的是为了降低用户费力度与协助用户便捷支付。若用户未授权,所有相关信息在交易成功后将立即删除。未扣款成功的交易,将在7天内删除CVV信息。携程的做法,符合PCI-DSS(第三方支付行业数据安全标准)规定。携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息,并将进一步严格按照PCI-DSS(第三方支付行业数据安全标准)的监管要求执行。
问题4:如果真的发生信用卡被盗刷了怎么办?
携程:携程官方向用户发出承诺,如果因为信用卡漏洞事件造成客户信用卡资料被盗用所引发的资金损失,携程都会负责赔偿。如果你的信用卡真的在这93人名单里,你将获得携程的500元任我行礼品卡补偿,如果真的“被”刷卡消费了,你可以找携程买单期间的所有消费。
对携程来说,这次的事件与其说是技术上的漏洞,不如说是信誉上的危机。同时也让我们看到了安全的重要性:建立用户信任可能需要若干年,毁掉它却只需要一天。
最后,提醒下各位,当心那些具备互联网思维的骗子集团利用这次携程泄密事件趁虚而入,利用你的不安全感,给你打来这样的电话:您好,我是XX银行的,因为这次携程信息泄露,我们怀疑您的信用卡信息已经被盗,需要更新信用卡信息,请听到滴声以后,把您信用卡的帐户名、密码以及新的密码输入到系统中,我们为您操作......