3月22日攜程出現(xiàn)重大安全漏洞�,攜程安全支付日志可遍歷下載�,導(dǎo)致大量用戶銀行卡信息泄露 (包含持卡人姓名身份證��、銀行卡號(hào)�����、卡CVV碼�����、6位卡Bin)���。
盡管漏洞僅持續(xù)了兩個(gè)多小時(shí)��,不過(guò)事件引發(fā)的恐慌仍在持續(xù)。目前看來(lái)��,該漏洞引發(fā)的擔(dān)憂和憤怒大大超過(guò)了漏洞造成的實(shí)際危害本身���。
恐慌遠(yuǎn)超實(shí)際影響
根據(jù)攜程官方的說(shuō)法�,目前并沒(méi)有監(jiān)測(cè)到有用戶出現(xiàn)信用卡被盜刷現(xiàn)象�,且該漏洞僅影響到了93名用戶,攜程已經(jīng)通過(guò)電話通知用戶更換信用卡�����,并給予每人500元禮品卡作為補(bǔ)償�����。
同時(shí)攜程承諾若發(fā)生盜刷,攜程將賠償用戶損失��。
國(guó)內(nèi)頂級(jí)白帽安全團(tuán)隊(duì)Keen Team的安全專家表示�����,被泄露的日志也并不像傳聞所說(shuō)的不安全���,在安全支付日志中被錯(cuò)誤記錄的用戶敏感信息��,包括信用卡號(hào)�、信用卡有效期���、信用卡CVV三位驗(yàn)證碼是經(jīng)過(guò)AES加密后存儲(chǔ)在安全日志中的�。在加密密鑰沒(méi)有對(duì)外泄露的情況下�����,AES的加密強(qiáng)度足以抵御來(lái)自民間的解密嘗試����,加密處理過(guò)的用戶信息在一定程度上還是得到保障的。
按照上述解釋�����,本次漏洞雖然聽(tīng)上去驚悚,但是實(shí)際影響是:1�����、只有3月21-22日消費(fèi)的93名用戶受影響�����;2�����、攜程將承擔(dān)用戶損失���;3、被泄露的日志也很難被黑客利用��。
不過(guò)用戶的負(fù)面情緒并沒(méi)有因?yàn)檫@些解釋而有所緩和��,直到攜程發(fā)出解釋后�����,多家銀行的客服電話仍然被打爆,有用戶甚至憤怒得剪毀了綁定的銀行卡��,有用戶在攜程官方微博中評(píng)論道���,此事的重點(diǎn)不在于漏洞�,而在于違法存儲(chǔ)用戶信息���,而500元賠償?shù)男袨橐脖恢副苤鼐洼p�。
相比起實(shí)際損失�����,該事件引發(fā)的三大恐慌更為令人擔(dān)憂�。
一、PCI DSS認(rèn)證形同虛設(shè)���?
PCI DSS即第三方支付行業(yè)(支付卡行業(yè)PCI)數(shù)據(jù)安全標(biāo)準(zhǔn)���,該標(biāo)準(zhǔn)由VISA和MasterCard等機(jī)構(gòu)牽頭制定,支付公司都會(huì)被要求通過(guò)這一安全認(rèn)證��。這一標(biāo)準(zhǔn)規(guī)定CVV、追蹤數(shù)據(jù)�����、磁條或PIN數(shù)據(jù)等特定信用卡信息不能被商戶保存�。
攜程作為上市公司,在上市時(shí)應(yīng)通過(guò)了這一安全認(rèn)證���,不過(guò)此次泄露的日志卻顯示攜程明文記錄了這些信息��。
一名安全行業(yè)資深人士表示�,PCI DSS含金量越來(lái)越低���,通過(guò)認(rèn)證后去把標(biāo)準(zhǔn)認(rèn)真落地的公司越來(lái)越少����,通過(guò)PCI DSS更像是花錢買了一個(gè)牌照���,并不說(shuō)明任何問(wèn)題。
這一說(shuō)法影射了整個(gè)支付安全行業(yè)的安全問(wèn)題——這次暴露問(wèn)題的是攜程�����,其他通過(guò)PCI DSS標(biāo)準(zhǔn)的公司甚至上市公司是否存在同樣的問(wèn)題?用戶的信用卡敏感信息被多少公司記錄著�?下一家會(huì)是誰(shuí)?
若PCI DSS標(biāo)準(zhǔn)缺乏管束力���,通過(guò)這一標(biāo)準(zhǔn)并不意味著安全��,那么其他與支付業(yè)務(wù)直接相關(guān)的公司也將受到一定的信任危機(jī)�����。
二�、給央行扼殺在線支付提供口實(shí)�����?
此次攜程漏洞出現(xiàn)的時(shí)間相當(dāng)微妙���,就在本月央行緊急發(fā)文暫停線下二維碼支付�����、虛擬信用卡等面對(duì)面支付服務(wù)�,盡管央行的說(shuō)法是出于安全考慮��,不過(guò)更多人愿意相信是移動(dòng)支付動(dòng)了銀聯(lián)的奶酪。
而攜程這一漏洞的出現(xiàn)恰逢其時(shí)地證明了在線支付的風(fēng)險(xiǎn)����,有相關(guān)技術(shù)人士透露,此次泄露是因?yàn)闊o(wú)線部門(mén)在手機(jī)APP調(diào)試過(guò)程中保存了日志并在Web.config開(kāi)了目錄遍歷���,也就是說(shuō)問(wèn)題出在移動(dòng)端�,所以客觀上這一事件的發(fā)生可以給央行封殺移動(dòng)支付提供口實(shí)���。
盡管這一說(shuō)法有陰謀論嫌疑���,不過(guò)兩起本無(wú)關(guān)聯(lián)的事件引發(fā)的用戶擔(dān)憂或影響到移動(dòng)支付本身的發(fā)展。
三���、綁定信用卡危機(jī)���?
盡管此前就有用戶擔(dān)憂過(guò)在移動(dòng)支付產(chǎn)品中綁定銀行卡或信用卡是否存在安全風(fēng)險(xiǎn),不過(guò)由于騰訊和阿里的大力推進(jìn)��,用戶的這一疑慮正在消除�。
事實(shí)上微信支付和支付寶也并未發(fā)生過(guò)用戶銀行卡信息大規(guī)模泄露事件�,此前央視對(duì)支付寶的質(zhì)疑在支付寶數(shù)次回應(yīng)后影響力也逐漸被抵消。
不過(guò)這次攜程的漏洞直接牽涉到了用戶的銀行卡安全,《風(fēng)聲》的導(dǎo)演高群書(shū)發(fā)微博稱“堅(jiān)持不用網(wǎng)銀�����,不綁定信用卡���,是十分正確的���。”
相對(duì)于已經(jīng)習(xí)慣在線支付和移動(dòng)支付的用戶��,此前不敢嘗試或抱猶豫態(tài)度的用戶是受到這一影響的主要人群�,攜程的事件給了他們足夠的理由拒絕綁定信用卡或使用在線支付。
總而言之���,攜程此次漏洞事件本身的危害其實(shí)相當(dāng)有限��,而媒體大規(guī)模曝光����、用戶的廣泛傳播引發(fā)的恐慌以及連帶效應(yīng)遠(yuǎn)遠(yuǎn)超過(guò)了這一事件本身����,事件持續(xù)僅兩個(gè)小時(shí)�����,而要消除影響需要的時(shí)間則遠(yuǎn)不止兩個(gè)月��。
