携程漏洞门引发公众担忧 快捷支付隐患显露

携程漏洞门引发公众担忧 快捷支付隐患显露。

◎ 记者 王晓庆 • 覃敏 | 文

携程的漏洞，触发了一场关于支付安全的全民恐慌。

3月22日，周六晚上21点多，北京一家传媒公司的负责人给行政主管拨了一个电话，告诉她马上挂失为出差人员订航班酒店的招行信用卡。

当日晚间，携程旅行网（NASDAQ：CTRP）被曝支付日志存在漏洞，用户银行卡信息可被黑客任意读取。携程方面承认漏洞存在。

作为中国老牌旅行服务公司，携程为超过1.4亿会员提供酒店预订、机票预订、旅游度假、商旅管理等服务，是诸多中国公司机构订酒店机票的常用平台，与建行、招商、广发等银行发行有联名信用卡。

携程此次被诟病的不仅是漏洞被捕获，更重要的是泄露的用户信息中包括了银行卡CVV码这类被明令禁止不得储存的数据信息。更令人担心的是，类似做法在业内不是孤例，为促进用户便捷消费，或者为了加快产品开发流程，商户往往忽略对用户信息安全的关照。

在互联网支付安全问题被热议的当下，携程漏洞门事件无疑雪上添霜。

“黑色周末”

3月22日18时许，乌云漏洞平台（WooYun）公布信息：“由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取”。

所谓遍历通常是指沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞被指可能导致携程用户持卡人姓名、身份证、银行卡号、卡CVV码、六位卡Bin等信息外泄。黑客若获得这些信息，足以进行网购盗刷。携程方面随即于当晚22时左右发出声明，称已经在消息发布两个小时内修复问题，“尚未发现因相关问题导致客户信息泄露及造成损失的情况发生”。

此次主动披露携程漏洞问题的乌云漏洞平台，是一个位于厂商和安全研究者之间的安全问题反馈平台。携程方面称，漏洞的敞开窗口是3月21日和22日，被乌云发现时是22日，因此这两日在携程网交易并使用信用卡支付的消费者可能存在风险。

据多名互联网企业安全总监对财新记者的说法，乌云之前曝过很多大公司的漏洞，通常都是先通报给厂家，修复后才对外公布漏洞信息。但此次乌云先对外曝出携程漏洞，携程再紧急“打热补”，他们猜测，要么是携程内部出了问题，要么是携程“长期不搭理乌云的提醒”。翌日，携程方面经过彻夜排查，称仅“漏洞发现者”对携程的日志文件做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。“公司客服当天17时多就全部联系到人了，告诉他们发生了什么事情，帮助他们办理换卡事宜。”一名携程经理对财新记者透露，93名消费者都没有说什么，“我们给这些用户提供了500元礼品卡，还承诺如果用户真的出现盗刷情况，我们保证赔偿”。

第一阶段紧急处置告一段落，接下来的疑问是携程的漏洞是如何产生的，其网络安全体系、工作流程有何不足。携程官方公告中寥寥数语介绍：“经查，技术开发人员之前是为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前，这些信息已被全部删除。”

曾在上海多家知名网站担任技术总监的周乔波从技术层面分析，携程此次问题是由双重因素共同导致的。首先是技术人员在排错过程中打开了Debug开关，导致页面操作信息被写入安全支付日志；然后是安全支付日志文件的目录没有做好安全基准配置，权限放开，没有及时关闭接口，然后没有及时删除临时目录，导致外界通过互联网可以浏览、遍历和下载日志。

“不是每个网站排错都会用这种方式，这要看各公司对安全性的重视程度。携程这方面做的不好，但一定不是最差的。”周乔波说，此前的漏洞影响最多的是网站信息安全、注册用户个人资料，现在支付业务发展后，用户的银行卡信息更直接关系到用户财产安全，但一些公司不一定对此有足够的重视。

在资深技术人员眼里，携程犯的是“低级错误”，“像写日志这样的工作，在公司里一般是刚毕业的小朋友或者实习生干的，如果没有严格的审核机制、代码的规范，出这样的错误就不出意料。”一位资深安全技术人员说。

快捷支付的隐患

让外界对携程质疑加码的是其违规存储了用户的银行卡CVV码信息。

CVV即信用卡背后的三位验证码，在多数“无卡支付”环节，只需提供卡号及此三位验证码就可完成支付。

《银联卡收单机构账户信息安全管理标准》明确规定，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码（CVV）、个人标识代码（PIN）及卡片有效期。这意味着这些信息原本就不该出现在携程的服务器上。

携程的解释是，携程是将用户未扣款成功的CVV信息暂存七天，目的是为了协助用户便捷支付。“漏洞门”之后，携程表示，将对支付流程进行整改，取消对用户信用卡CVV信息的询问和登记，不再保留任何用户的CVV记录。

在携程无主观使用用户银行卡信息牟利的假设下，为了用户的支付便捷，似乎是携程保存用户CVV码的唯一解释。事实上，在各个互联网企业对用户的争夺中，提供快速便捷的支付体验一直是重要筹码。

登录进入携程网的支付界面，用户可以选择三种支付方式：信用卡、第三方支付、网上银行。如果用户选择后两种支付方式，下一步是直接跳转进入银行或者支付平台的页面进行操作；如果选择信用卡支付，则是停留在携程自有的页面进行输入，用户的信用卡信息就这样被携程录入，保留在其服务器上。

周乔波介绍，国内很多网站利用信用卡协议，通过这样的方式拦截客户资料，不过通常都是将信息记录在数据库中，并非采用日志形式进行存储。携程上述漏洞暴露的日志存储行为并不是为了拦截客户数据，只是凑巧暴露了携程拥有客户CVV码等信息的事实。

携程网与国内主要银行都签署了信用卡无卡支付协议。用户同意携程网保留其信用卡卡号和有效期等信息，则在其下次预订时只需提供所存信用卡的卡号后四位，以及信用卡CVV码或有效期，携程网就会根据其当初保留在系统中的信用卡授权信息，执行支付步骤。

也就是说，无论是谁，只要掌握了用户的信用卡号、有效期、CVV码信息，就可以成功刷信用卡消费。

近几年，在线旅游市场竞争激烈，如何让用户获得更便捷的消费体验，是携程、去哪儿、同程等比拼的焦点。多家在线旅游服务商都会提供“常用卡服务”的选项，初衷是为了方便客户交易，比如在进行舱位变更时，不需要每次更改信息都要求用户重复输入CVV码。

随着移动互联网兴起，用户包括身份、银行财产等相关数据和互联网应用绑定越来越紧密，泄露风险和威胁也越来越大。而商家为了提高用户操作和消费便利性，或者为了加快产品开发流程，对安全问题往往心存侥幸。

据中国电子商务研究中心发布的《2013年中国网民信息安全状况研究报告》显示，74.1%的网民在过去半年时间内遇到过信息安全问题，总人数达4.38亿，全国因信息安全事件而造成的个人经济损失达到了196.3亿元；因网上购物遇到过安全问题的网民达2010.6万人，其中因网购遭遇个人信息泄露和账号密码被盗分别为42.9%、23.8%；电脑网络支付时，资金被盗、被骗和账号密码被盗的比例达32.1%。

奇虎360公司安全专家安扬介绍，在支付安全方面，国际上有一项PCI-DSS（Payment Card Industry-data storage security）标准，严格规定了网站不能保存哪些用户数据，以及规定网站必须采用加密数据传输等安全措施。在PCI-DSS规定的基本安全措施中，商户可以保存的信息是信用卡号、持卡人姓名、信用卡失效日、业务代码，禁止保存的包括CVV码、PIN、完整磁条信息（针对POS机刷卡）。

“PCI-DSS”中文全称为支付卡产业数据安全标准，是由PCI安全标准委员会的创始成员（Visa、Mastercard等五大国际卡组织）制定并维护的一套保护持卡人数据的技术和操作基本安全要求，以有效降低网站发生数据泄露的风险，保护支付数据的存储和传输安全。国内目前通过PCI-DSS认证的企业包括网银在线、支付宝、快钱支付、盛付通、工商银行、民生银行、去哪儿等。

但也有人质疑PCI的安全性，比如，国外两家零售商Target和Neiman Marcus都是PCI-DSS标准的合规企业，但都遭遇过黑客入侵，导致信息泄露。

“出了事情之后，我们也在准备申请PCI系统认证。”携程内部的一位中层人士告诉财新记者，携程已启动PCI认证程序，以期更符合国内外安全规范，“这需要耗一定的成本和时间，去哪儿当初申请材料就准备了三个月。但这次事件给了我们教训，就是成本再大，这事也得做”。

“白帽子”查漏

近几年，用户信息泄露事件层出不穷。2012年的CSDN泄密事件曾引起哗然；去年10月，乌云（WooYun）漏洞平台发布报告称，如家、汉庭等大批酒店的客户开房记录因被第三方存储和系统漏洞而泄露。报告中，乌云曝光了网上下载酒店客户信息的过程，成功下载的客户信息中完整记录了入住酒店旅客的身份证、入住时间、入住的房间号码等隐私信息。

此次披露携程漏洞问题的依然是乌云漏洞平台，这是一个位于厂商和“白帽子”（指一些善意公布公共网络安全漏洞的IT技术人员）之间的安全问题反馈平台，曾报告过腾讯、阿里巴巴、当当、京东商城、360等多个互联网企业的安全漏洞。

乌云漏洞平台成立的动因，是业内的“白帽子”在发现网站漏洞后，缺乏渠道及时反馈给相应的网站。几位知名“白帽子”成立了乌云漏洞平台，为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的发现和修复渠道。

腾讯公司在其2012年度“漏洞奖励计划”工作报告中指出，2012年腾讯产品发现安全漏洞2288个，其中来自腾讯安全应急响应中心的有1910个；通过非官方渠道报告漏洞378个，主要来自乌云平台，提供了302个安全漏洞。

“传统企业做互联网往往漠视安全问题，携程此次事件暴露了其安全意识淡薄。”这位资深安全技术人员说，事实上，国内金融系统的漏洞也很多，尤其是银行网络，只是因为黑客对政府有所忌惮，所以并没有暴露过太大的问题，但涉及到支付的相关合作公司，如果在安全性上有漏洞，就很容易成为攻击目标。

他还介绍，重视安全的互联网公司一般都有专门的漏洞组做漏洞挖掘，也会鼓励同行提漏洞，甚至会付费。业内的规则是：“你发现漏洞，告诉我，我会给你钱，但是在我修复前不能公开”。

除了民间的纠错和企业自查，来自监管的督促也是互联网安全体系建立的重要力量。互联网与其他各行各业日益渗透融合化的趋势，使得现有互联网管理体系暴露出诸多弊端。此前，“九龙治水”的分散管理是信息安全领域监管薄弱的重要原因。工信部、公安部、国家保密局、国家密码管理局、银监会、证监会等部门都有规章文件涉及个人信息保护。最近，国家成立了网络安全与信息化工作小组，集合各个部门的力量，符合互联网监管的趋势。

2012年12月28日，全国人民代表大会常务委员会通过了关于加强网络信息保护的决定，从法律层面为网络信息保护提供了依据，但这是涉及个人信息安全的普适性原则。来自工信部电信研究院的专家向财新记者介绍，不同业务类型的互联网网络和业务应用系统，对它们的具体网络安全要求会有不同，不同行业的监管部门包括央行等都制定了相应的标准和具体的操作规范，“携程在一定程度上是银联服务的延伸渠道，银联对渠道也有自己的管理规范，携程理论上应该受到多类多级规范制约，但是在实际操作中纠察缺位”。

发现问题之后的处罚力度也有待加强。根据相关规定，用户个人信息发生或者可能发生泄漏、损毁、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或备案的电信管理机构备案。电信管理机构依据职权要求企业限期整改，并可处于1万元以上、3万元以下罚款。

“这个处罚并不是特别有力。”上述专家认为，除了加大处罚力度，还可以对发现问题的企业予以公示，“声誉对于企业来说格外重要，公示的影响力会对企业形成一定的威慑作用”。

在携程内部看来，此次漏洞门事件对携程的影响并非经济损失，损失更大的还是声誉。漏洞事件曝光后首个交易日，携程股价盘前一度跌近10%。