【简介】携程用户个人信息被泄露,敲响了移动互联网的安全警钟,怎样保护用户的信息安全,在某种程度上决定着用户对移动互联网的使用信心。
新金融记者 曹晓龙
发现漏洞
3月22日,一个编号为“54302”的漏洞报告“袭击”了携程。
这份由网名为“猪猪侠”的乌云网核心白帽子成员王音提交的报告中指出,由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意黑客读取。并因为携程安全支付日志可以下载,导致大量用户银行卡信息泄露,其中包含持卡人姓名、身份证号、银行卡号、卡CVV码、6位卡Bin等等。
“当用户把安全性作为选择企业产品的考量之一时,企业就会加大投入,开发人员就会有更多的资源和动力去处理安全问题,从而营造出越来越好的安全生态,促使这个生态形成,就是乌云白帽子团队要做的事情。”王音告诉新金融记者,发布编号为“54302”的漏洞报告,正是基于此目的。
这份漏洞报告一经发出,立竿见影。
市场上已经出现不少携程的用户在看到消息之后,连夜向银行申请取消信用卡的情况,此外亦有一些公司开始停止使用携程进行出差预订。
“目前公司正在跟相关互联网安全领域专家合作,查漏补缺,检查一下操作流程系统是不是有什么问题,另一方面也正在启动相关的PCI和银联的认证程序。”携程方面相关人士告诉新金融记者。
据了解,在3月22日收到乌云发来的漏洞报告后,携程相关部门第一时间便展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。
出现漏洞的原因,携程方面给出的解释是,携程的技术人员之前为了排查系统疑问,留下了临时日志,因疏忽未及时删除。目前这些信息已被全部删除。
根据携程方面发布的声明,经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。
“从公司后台的数据来看,这93名用户的信息是乌云相关人员下载做测试用了,没有其他人获得这些信息,但为了防范风险,公司客服于23日通知这些用户更换信用卡,截至目前,未发生携程用户信用卡被盗刷的情况。”上述人士表示,外界认为携程“泄露”用户信息,并不准确。这是公司在技术调试过程中,出了一个漏洞,并及时修补了。用户的信息仍然非常安全的,并未出现泄露。
据了解,携程此次的漏洞中,信用卡号、信用卡有效期、信用卡CVV3位验证码是经过AES加密后存储在安全日志中的。在加密密钥没有对外泄露的情况下,AES的加密强度足以抵御来自民间的解密尝试。
王音也在其个人微博发布声明称:“大家对于信用卡相关话题的反应有点过于敏感了,目前本人已经将安全测试涉及的日志信息彻底删除,而且卡号等敏感信息有加密,携程也已经及时修复漏洞,相关信息并没有被传播。”
“这次安全事件中的漏洞,对于携程来说,是一个不该犯的错误,导致问题的主要原因是其开发和运维人员缺乏安全意识,没有上升到非常重视的高度。”互联网评论人士贾敬华告诉新金融记者。
当然从此事件中,携程也意识到了这一点。
近日携程方面表示,其已经建立安全应急响应中心,并设立了总额500万元的信息安全奖励基金,用来奖励为携程找出漏洞的信息安全卫士。同时携程将邀请国际知名信息安全认证机构,共同保障用户的个人信息安全。
安全意识
互联网安全再度成为人们关注的焦点。携程并非个例。
近年来,国内外互联网泄密事件接连发生。2012年国内得到确切统计的记录泄露数量已经达到约278万条,漏洞报告则为637份。2013年11月左右记录在案的泄露事故也有约107万条,漏洞报告则为483份。
“很多互联网公司出现的安全漏洞,归根到底是要质还是要量的问题。网站为了快速发展用户,有时候可能在系统调试中出现不严谨的情况,大部分被黑客攻击,都是因为网站调试或者更新时出现后门。”一位从事网络安全的互联网人士告诉新金融记者,2011年发生的著名的csdn用户资料泄密,就是因为存储用户数据的日志没有加密导致的。
“很低级的错误,但在企业快速发展中,容易被忽视。”该人士表示。
“携程在手,说走就走。”漏洞事件背后,为了实现快捷方便的网络支付,携程存储用户支付信息,明文保存密码的做法也受到各方质疑。
据了解,携程网会员如果多次购买支付酒店或机票价款后,只需提供卡号后4位及CVV码,携程网就会完成下一次支付操作。
所谓CVV码,是指银行信用卡背后的3位验证码。在“离线交易”环节,用户只需提供卡号和CVV信息即可完成支付,整个消费过程中不需要通过任何密码认证。
“现在网络信用卡支付之所以发展迅速,与其异常简单的流程密不可分。但表面上看,携程是为了提升客户体验,简洁了流程,在竞争地位中获得优势。但实质上,这种优势的背后,却存在用户信息安全风险。”上述人士表示道,此次携程爆出的安全漏洞涉及用户的CVV码、6位卡Bin等信息,反映了携程在过度收集用户信息。这些信息携程没有必要收集,而应该让用户转到银行专门网站上输入。
有消息人士指出,2009年以前,携程服务器并不留存用户CVV码,用户每次购买机票、预订酒店都需要输入CVV码;但在2009年,当时的携程CEO范敏为了简化操作流程,优化客户体验,拍板决定在携程服务器上留存CVV码。
目前针对于此,携程方面也进行了整改。根据携程最新声明,公司客服将取消对用户信用卡CVV信息的询问和登记。同时,严格遵守相关政府主管部门规定,不再保留任何用户的CVV记录。以前保存的CVV信息也将删除。
“不出问题就永远没有问题,大多数公司都是这么想的。”从事网络安全的杭州微触科技有限公司CEO宋超告诉新金融记者,国内对信息安全的重视程度一直不高,都是等出事了才重视一次。几乎没有几个公司有专门的安全预防控制部门,其实这是很有必要的。
云计算安全、服务器安全领域趋势科技合伙创始人陈怡桦也在其个人微博中表示,互联网给人们带来便捷的同时必然带来了安全问题,但从本质来说,安全问题不只是技术应该要考虑的问题,而应该是技术、制度、信用机制一同发力的问题。企业中对技术、运营等需要制定一系列的规章制度,才能最大程度避免安全问题。
黑与白
值得庆幸的是,率先发现此次携程安全漏洞的是乌云平台,而不是不怀好意的黑客。
“支付安全其实一直都很脆弱的,黑色产业链一直存在。”宋超透露道,黑客圈做信用卡产业很成熟。
2013年12月,美国零售巨头Target的系统被植入恶意软件,黑客攻击手段很平常,预警系统也多次发出预警,但Target疏于应对,最终导致1.1亿位顾客信用卡数据被盗的美国零售业最大黑客事件。时至今日真凶仍然逍遥法外。
根据科技专栏作者阑夕描述,从事信息交易的黑客会把获得的用户信息,比如QQ或者网络游戏ID及密码等形容为“信封”。这些被称为“信封”的文件会被拿到批发市场上进行交易,由购买者再去挖掘更多用途的价值。
据了解,中国市场上待价而沽或正在交易的“信封”超过了20亿封,年产值在百亿人民币规模。此前网络安全领域上市公司北信源首席战略官胡建斌在“2013中国网络安全大会”上表示,目前国内信息安全产业产值大概为100亿元,而2013年互联网地下黑色产业链预计超过80亿元。
“用户的安全防范能力永远滞后于黑客的技术能力,数据泄密事件在互联网领域也无法杜绝。虽然互联网的信息安全防护水平一直在不断提高,但因为互联网不断发展,应用更加深入,吸引攻击者的‘有价值目标’不断增长,需求产生市场,导致了黑客等地下产业链日益繁荣。”宋超说。
“安全的问题在于其封闭性,黑客本身是个很神秘的圈子。而公众领域这边,每个人都担心出安全问题,但几乎每个人又都不知道安全问题到底是什么。”王音表示,信息的严重不对称,导致互联网安全行业很难得到改善,掌握信息的人会利用信息进行牟利。
但他表示,不同于其他黑客,乌云白帽子团队有极强的安全敏感性,能很快发现潜藏的漏洞,却又能在利益的诱惑下,选择做正确的事情。
资料显示,乌云网成立于2010年5月,主要创始人为百度前安全专家方小顿——曾经的国内知名黑客“剑心”,其目标是成为“自由平等的”的漏洞报告平台。其致力于将白帽子和厂商联系起来,让厂商可以及时发现和修复问题,并对一些新兴和频发的安全问题进行预警。
根据王音所述,在漏洞很容易卖出好价钱的情况下,4年来乌云坚持不盈利,并聚集了4000多位白帽子,发现和报告了近5万个漏洞。
“互联网安全领域,水很深。”宋超透露道,事实上,国内很多互联网安全公司既当兵也当贼,因为贼不猖獗的话,兵不会有饭吃。此前针对乌云网本身,业界也有其他声音指出,黑客们入侵相关网站盗取信息,然后只要在乌云网向厂商提交漏洞,就可以洗白。
“但还是那句话,不出事儿企业就不会重视,这个现状不解决,其他都没用。”宋超表示,携程安全漏洞事件之后,希望能对国内其他互联网企业有所警醒,从而增强网络安全意识。
