数据双刃剑:携程漏洞门“漏”出监管隐患
宋文明
“在线预订酒店或旅游产品,不像其他电商买卖,支付完成交易就结束了。我们还需要对相应的资料进行确认和跟踪,因此行业里一般会保留用户的银行卡信息在7天左右。”
日前,携程旅行网被曝系统存在安全漏洞,致使用户银行卡存在信息泄露的风险,这一事件迅速引发了市场反应,部分用户甚至恐慌退卡。
而根据《中国经营报》记者的调查发现,携程的做法也是整个在线旅游业的“潜规则”,此举在提高用户使用便捷性的同时,却把安全隐患也深植其中,一旦引爆后果堪忧——携程的“漏洞门”事件或将给整个互联网行业带来新的发展不确定性。
携程泄密
携程承诺未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
3月22日晚,国内知名漏洞平台乌云网发布消息称:“携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取。”
该平台发布的信息还显示,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV码(卡号、有效期和服务约束代码生成的3位或4位数字)、卡6位Bin(用于支付的6位数字)等非常敏感的内容。
该消息迅速席卷更大社交网站,引发大量关注。“我需不需要去换卡?”很多使用过携程的人在微博、微信上发问。
3月25日,携程有关负责人向记者表示,乌云报告出来后,携程立即展开技术排查,发现原因是携程的技术开发人员此前排查系统疑问留下了临时日志,因疏忽未及时删除。“事实上,我们在两个小时以内就已经修补了上述漏洞,并将相应信息全部删除。”该负责人说。
但是,该“漏洞”引发的影响却在持续发酵。招商银行(9.82, -0.04, -0.41%)信用卡客服透露,有很多用户已就携程漏洞问题致电咨询,其中大部分已经采取立即注销原有信用卡、另行开通新卡的避险措施。
上述负责人表示,经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。3月23日,携程已通知存在潜在风险的93名用户更换信用卡。经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况。
而在随后发给记者的书面声明中,携程承诺未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
便捷与安全的两难
在用户体验提高的同时,安全隐患却也如影随形。
此次风波的一个焦点在于,携程记录了用户的CVV代码。CVV代码是指印在信用卡卡片上的一组检查码,它是进行网络和电话交易时的安全保障,属于高度机密的用户信息。
“在离线交易模式下,只要掌握信用卡卡号、有效期、卡背上的3位CVV安全码等便可以完成交易,整个消费过程中不需要通过任何密码认证。”有银行方面人士表示,CVV码一旦泄露,会给用户的资金安全带来很大的盗刷风险。
而按照相关规定,携程此举也属于违规操作。“携程在日志中存储的CVV码等信息,超过银联的允许范围。”上述银行人士表示,携程不是第三方支付机构,其无权保留银行卡信息,尤其是CVV代码的信息。
“这件事情上,携程确有违规行为,但整个行业一直都是这么做的。”前述携程负责人表示。
这跟在线旅游的业务特点有关, “在线预订酒店或旅游产品,不像其他电商买卖,支付完成交易就结束了。我们还需要对相应的资料进行确认和跟踪,因此行业里一般会保留用户的银行卡信息在7天左右。”上述负责人称。
据了解,在线旅游行业是国内最早在机票和酒店领域实现信用卡预授权的行业,在支付宝和微信支付风靡以前,在线旅游行业几乎全部的机票、部分酒店、旅游度假以及其他产品都需要在线支付。作为国内最大的在线旅游预订机构,携程在用户体验方面更胜一筹,而这在一定程度上就有赖于CVV代码的保存。
有业内人士进一步解释称,如客户在通过客服订机票的过程中,机票价格本身是一直在变化中的,另如客户订酒店以及用车,很多资料都需要一定的确认时间。CVV数据的保存,有利于流程更加迅速和便捷。
但是,在用户体验提高的同时,安全隐患却也如影随形。地歌网CEO余德表示,携程存储如此海量用户的银行卡信息,出现监守自盗的问题怎么办?作为一家非专业的金融类公司,其是否真的有相应的技术实力和经验去保障信息安全?此外,用户即使之后出现信用卡被盗的情况,也很难确定被盗事件是否与携程有关系。
这也是大多数用户的疑问,压力之下,3月25日傍晚,携程再发声明称,其将不再保存客户的CVV信息,所有的信息在交易完成后将被删除;以前保存的那些CVV信息,正在予以删除。
监管缺失
在数据安全上,互联网级别的能否匹配金融级别的是其中最大的问题。
而透过携程“漏洞门”,整个互联网支付市场的安全状况也可见一斑。余德就表示,许多便捷支付都存在类似的风险。
据统计,国内已经有200多家企业拿到了第三方支付的牌照,其中目前已经具有规模应用的有支付宝、财付通、百度钱包、网易宝等。
其中移动支付因其便捷性已经吸引了海量用户,据支付宝官方说法,截至2013年11月支付宝绑定手机客户已经超过1亿人;除掉种种干扰数据,使用微信支付的人数也已经达到几千万的量级。
“目前看来,携程漏洞事件本身没有造成用户的损失,但为其他的公司,包括诸多电商敲了一个警钟。”品友互动CTO沈学华表示,随着在线支付的日益普及,消费者心理对支付安全的担忧也在浮现,携程漏洞的出现,无疑加剧了这种不安。
有支付行业技术高管亦表示,现在便捷移动支付前端风险主要来源于手机,中病毒、被监听、输入数据或者移动信号被劫持等,这个风险相对而言是容易掌控的;最大、最不易把握的风险出在企业端口,在数据安全上,互联网级别的能否匹配金融级别的是其中最大的问题。
记者观察
“说走就走”不容易
“携程在手,说走就走。”竞争压力下,携程网将用户体验提到了前所未有的高度,其在技术和流程改造方面进行了“大跃进”式的跨步。有行业人士分析称,这也使得携程网在风险控制方面出现疏忽,从而出现了这一次用户数据泄露事件。
携程模式出现之前,提供酒店和机票预订服务的公司都是区域性的,分散的服务方式让质量控制难以执行。1999年成立的携程正是找到了这一产业缝隙,并将其与互联网结合,这一创新也使其在在线旅游预订领域迅速获得成功。
在很长一段时间里,携程的核心竞争力在于其高度规模化,以技术、体系和理念为支撑的服务流程,更在于其投入巨大人力物力搭建的“强大呼叫中心和电子商务平台”。但随着用户消费习惯的改变,包括主动搜索旅游产品,进行比价等,携程的优势受到去哪儿等新晋对手的巨大挑战。
随着移动时代的到来,携程求变的思路越来越清晰。2013年,技术出身的梁建章回归携程,接替范敏担任董事会主席兼首席执行官,给外界带来一个信号,即携程已经决心在移动业务上发力,将公司的资源向移动业务倾斜。
效果也很明显。来自艾瑞咨询的调查数据显示:在机票与酒店两大业务上,携程App分别以51.7%和37.7%的使用度,居于业界第一,而去哪儿和艺龙则紧随其后;而之前的APP新锐如“今夜酒店特价”等,则迅速被巨头挤到了尴尬的境地。在移动战场上,以前的经验和优势归零,用户体验是成为制胜关键。
但是,高速的状态却也容易出离轨道,“短短的一年时间里,携程接连推出新的产品和举措,被速度裹挟的移动‘大跃进’,是此番携程‘漏洞门’的主因。”有行业人士认为,携程在小跑进入移动时代的同时,还需更加关注一些企业运营的基本要素,如风险控制等。
但携程方面显然不认可上述说法。“这次发生的数据泄密仅仅是一个意外。”携程有关负责人表示,用户对便捷支付的安全性越来越担忧,而携程恰好在这个时间点上犯了个错,为这种担忧提供了一个宣泄的机会,仅此而已。
或许,一次说走就走的旅行没有说的那么简单。
携程泄密事件追踪编辑本段回目录
理财周报记者 王小莓 见习记者 王俊丹/上海报道
叶亚明万万没有想到,他在携程网(50.84, 2.47, 5.11%)大干快上的技术改造升级给其OpenStack团队造成巨大压力。这位携程网新任技术副总裁自上任始,便对整个技术构架进行大刀阔斧的改革。
成也萧何,败也萧何。
乌云漏洞平台上披露的一则信用卡支付“漏洞”,让雄心勃勃的叶亚明绊了个大跟头。这个漏洞散列是:bf9165488f5e2ea3ca02ec6b310446b0。
虽然在此前,乌云网已经连续披露京东(滚动资讯)商城、支付宝、网易(68.69, 0.56, 0.82%)等国内著名互联网企业在用户信息安全防护中存在高危漏洞。然而,此次对于携程漏洞的详细描述——“通过信用卡支付的携程网用户姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码等信息已有可能被黑客所读取”挑起了公众的敏感神经。
对于信用卡的这个“惊天漏洞”此前已陆续有媒体曝光,在线OTA网站无卡无密码支付也是行业通病,但却使携程落马了。
携程的技术研发部和信息安全部在业界颇具声名,完全自建的携程IT系统包括网站系统、在线交易系统、采购系统等子业务系统,从复杂性上来说,能与之媲美的唯有淘宝。
但关键是技术研发部与信息安全部之间存在微妙的博弈关系,携程的漏洞表面上源于部门员工偶然的失误,实际则是OTA(在线旅游代理)企业恶性竞争的必然结果。
他们的解释
在线旅游市场群雄逐鹿,占有市场份额最大的携程作为先行者一度领跑,过着一家独大的好日子。然而,随着艺龙(16.36, 0.28, 1.74%)、去哪儿(30.18, 0.71, 2.43%)等竞争对手的崛起,其龙头地位早已岌岌可危。商业模式上,携程依然仰仗着十几年前创业之初确立的呼叫中心带来业务量,而老对手艺龙早已在革命,砍掉线下发卡渠道全力发展线上销售。
而携程依然按兵不动,直到叶亚明的出现。
作为OTA行业的老大,经过十多年的发展,携程逐步构建出自己的护城河——强大的IT系统。而这个核心部门一直以来颇为神秘,理财周报记者辗转找到内部人士也拒绝媒体采访。理财周报记者遂多方打听,试图揭开其鲜为人知的一角。
携程的IT系统复杂且庞大,完全靠内部一步一步搭建。叶亚明到任后,在携程完成了几次重要的技术改进。据中国软件开发联盟CSDN公开资料显示,携程技术改造升级分别布局于前后端。在网站前台进行页面改版,后台以Open API(开放应用程序编程接口)的方式开放平台资源,同时成立数据中心进行大数据处理。
云技术只是叶亚明的小试牛刀,他更大的野心在对公司技术架构的革新,目前的携程已经采用OpenStack这一云计算平台来搭建。
他在布一个长远的局。
在叶亚明眼中,无线端的业务增长速度在未来将会远远超过呼叫中心。在新的架构下,可以将实体机器完全虚拟化。比如增加300个人,产生300个虚拟机器就可以了,虽然人数增加,但管理机器的数量没有变化,这就会提升效率。
可以想见,如果这一切都万无一失的话,这堪称叶亚明在携程的伟大战役。
但是,理财周报记者查阅中国软件开发联盟CSDN的公开资料时发现,携程的OpenStack团队总共加起来不到二十人,其中核心技术人员只有六七名,相比庞大的呼叫中心和无线端业务人员可谓九牛一毛。
千里之堤,毁于蚁穴。
就是这个搭建了庞大系统的部门,不久前却因技术人员操作不谨慎,被黑客抓住把柄。
3月22日下午,乌云漏洞平台发布消息称,携程系统存在技术漏洞,可导致用户个人信息、银行卡信息等泄露。当晚11点,携程技术人员对漏洞进行确认。23日早上7点,携程官方消息称漏洞已经修补。
据乌云网的说法,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
而携程公关部针对事件原因接受理财周报记者采访时表示:“漏洞是携程技术人员在对某个服务器进行系统问题排查时,留下临时日志未及时删除所致。”
关于技术排查,相关网站技术人员对理财周报记者进行了详细描述:“所有网站在这一点上都是类似的,网站技术人员会定期对每个服务器进行扫描,主要为了发现潜在的漏洞,并进行修补。这种扫描,有些网站由自己完成,也有会通过第三方机构扫描,由他们出具漏洞清单和修补意见。”
这种扫描漏洞的部门又称为信息安全部或者是风险控制部门,在携程内部有独立的信息安全部门专门负责漏洞扫描和排查工作,但此次的漏洞却为第三方平台乌云网所发布。
携程公关部对此向记者表示:“这部分信息也是处于加密状态,即使拿到信息也要通过破解才能读取。”这对黑客而言并非难事。
与此同时,理财周报记者致电另一家OTA企业,在其网站支付时与携程一样无卡无密即可成功。其CEO表示:“我们不是明文保存的,我们是加密保存的,携程这个案例我们也看了,但具体情况不是很清楚。”对于当时未付款的客户信息,也没有规定保存客户敏感信息7天,具体也是由研发和审计法务的风控部门负责。
“拇指”+“水泥”
携程事件只是冰山一角。
无卡无密码便可支付的信用卡支付已是普遍现象。不管你是在携程网,还是在同程网、艺龙网、芒果网等OTA网站,使用信用卡支付时同样只需要卡号、有效期和CVV码,并不需要密码和卡。
“无卡无密这种支付方式是合理存在的,是行业规定的。像酒店预订,以及携程和类似的商旅网站通常会使用。原则上来讲,商旅网站不应该保存CVV等信息,这是违规的,但银行方面不了解网站是不是这样做。”建行信用卡部办公室工作人员肖瑞娟这样告诉理财周报记者。而招行信用卡专员也肯定了这一说法,并称采用这种支付方式的渠道很多,目前无法提供一个完整的列表。国外交易网站大部分也是通过卡号、卡面有效期、背面后三位码就可以完成了。但有些网站需要万事达或VISA验证服务的话,会要求输入查询密码来验证。
但携程的错误在于违规保存客户敏感信息如CVV码等,这明显违背了央行规定。
根据央行《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。
对此,携程方面对理财周报记者表示:“我们将在交易完成后删除客户的CVV信息,不再保存。以前保存的那些CVV信息,正在予以删除。曾经存留的信用卡信息在传输和保存始终处于加密状态,任何未经授权的人员都无法取得这些资料。”
但为什么携程要违规保存客户信用卡的敏感信息呢?
“记录信息处于的思考层面会比较多,方便用户是其中之一,方便自己做一些调试等目的也是有的,但是我们也很难知道它具体还有其他什么目的。可以肯定携程不会自己盗刷用户的卡。按理来说,这些知名的与支付有关的网站是可信的,他们不会做危害用户的行为,只是有些规定并没有执行好,是他们工作上的失误。”国内最早提出网站安全云监测及云防御的北京知道创宇公司研究部总监余弦这样告诉理财周报记者。
此次携程漏洞就是因为开发人员开启了调试,留下了临时日志导致信息有外泄的可能性。开启调试功能对开发人员意味着什么?“因为程序开发中,如果开启了调试功能,则有利于程序员更精准地定位整个支付环节中的一些问题,可能会有利于他们的业务改进。不仅是开发新的产品,包括现有的支付环节,有可能在逻辑上有一些缺陷,比如BUG。调试有利于程序员或者开发人员进一步改进他们的工作。”余弦这样解释道。
这就涉及到研发部门与安全部门普遍存在的一个矛盾:开发为了满足业务可能会疏忽了安全线。而安全部门可能会要求开发人员执行一些安全标准,但当执行这些标准的时候又可能会影响开发进度。“它们是两个互相补充的部门,如果相互之间能配合好的话就不会出现携程事件了。”余弦向理财周报记者说道。
为此,有业内分析人士认为,携程此次用户信息泄露事件,可能是无线研发推进过快而变相导致的。曾经参观考察过携程的大众点评网技术部负责人也对携程产品研发更新速度表示钦佩。携程CEO梁建章在去年回归后的第一个重点就是推出“拇指+水泥”战略,将更多资源偏向移动互联网,所有最新的丰富旅游产品都优先在移动领域尝试。梁建章表示,无线客户端代表的移动互联网将是携程突围的一个关键点。在携程内部,无线业务亦被因此称为“二次创业”。
但余弦认为与市场竞争关系并不大,“这与开发人员的安全意识有关”,余表示。
“擦边球”基因
既然无卡无密码支付是行业常态,这个信用卡支付的“漏洞”早就有媒体曝光,但为什么携程的一个“漏洞”却引起如此大的关注和讨论?
“一是跟公民的财产有关系,用户很在意;二是信用卡的快捷支付很方便,跟银行卡不同,信用卡甚至都不用密码;三是这个事情有很多黑公关炒作的成分在里面,大肆渲染,不负责任地放大这件事。你有听说这几天有谁被盗刷了吗?”余弦这样反问记者,作为安全圈的一员,他直言黑客根本不会盗刷炒作得人尽皆知的事情。
作为在线旅游市场的龙头,携程的用户波及面极广。据悉,每天在携程订票的人数约80多万。
从2012年艺龙挑衅携程引起国内OTA价格战开始,携程就被动地处在各个小OTA公司的联合围剿中,先后投入这场战争的有艺龙、同程、去哪儿、芒果等。
恶战一年多后,OTA的格局并未改变。携程虽然折兵损将,但依然稳居老大地位,2013年的财报也颇为亮眼,根据财报显示:携程2013年净营业收入为54亿元人民币(约合8.9亿美元),相比2012年增长30%。而艺龙2013年净亏损1.68亿元创下历史新高。
除了真金白银的价格战,口水战也几乎没有停止。携程此次出现如此低级错误,更是难得的反击时机。
抛开行业竞争的大环境,携程本身携带“违规打擦边球”的基因也许早就为此次事件埋下了伏笔,看似偶然的事件也凸显了必然性。
携程正是从“违规”中诞生的。十年之前,从行业来说,跨地区买飞机票是违反规定的,但携程却敢于推出一个全国性的网络订票平台。“这个违规是商业规则不成熟的表现。为什么要改革,就是要改掉这些不合理,看上去合法,实际上它真的是违规的东西。所以携程十年前做了这样一个突破。”在携程信用卡支付漏洞的前一天,CEO范敏曾这样公开说道。
正是这样的“甜头”让范敏更加大胆。
据知情人士透露,2009年以前,携程服务器并不留存用户CVV码,用户每次购买机票,预订酒店都需要输入CVV码;但2009年,范敏为了简化操作流程,优化客户体验,拍板决定在携程服务器上留存CVV码。
如今看来,正是当时范敏的这个决定为今天的“漏洞”埋下了隐患。
而携程对本次事件最新的处理决定是:“我们将会按照监管部门的要求,尽快优化完善用户的支付流程。加强内部排查所有可能存在漏洞,邀请国内知名网络安全专家对携程系统进行会诊。同时,我们已经启动了CFCA和PCI的认证程序,以期更好地符合监管要求。”
问题是,此前携程曾有意向接入该认证程序,但是公司工作人员去考察之后发现,携程自身系统要整改难度太大,业务种类多且交叉多,如果按照该系统接入而整改会使架构都会有所变化,导致至今未引入CFCA和PCI认证标准。
“但是PCI也并非法律条款,只是支付卡大亨自己制定的规范,通过PCI不代表就能保存用户的敏感信息,还要根据国内的规定。”PCI-DSS在中国的合作伙伴北京航天亿展公司的工作人员这样告诉理财周报记者。
而接下来,携程面临的不仅是引入PCI-DSS标准的技术考验,更是如何重树安全支付信任、重拾消费者信心的问题。