攜程支付日志存在漏洞 拷問網絡支付安全難題

　　據中國報告大廳了解：3月24日消息，22日攜程被曝支付日志存在漏洞，用戶銀行卡信息可被黑客讀取，用戶個人信息、銀行卡信息可能會遭泄露。攜程23日對此致歉并承諾，未來倘若發生安全漏洞并引起用戶損失，攜程將給予全額賠付。

　　3月22日晚，烏云漏洞平臺發布消息稱，攜程系統存技術漏洞，可導致用戶個人信息、銀行卡信息等泄露；漏洞泄露信息包括用戶姓名、身份證號、銀行卡類別、銀行卡卡號、銀行卡CVV碼（卡號、有效期和服務約束代碼生成的3位或4位數字）等，上述信息可能被黑客讀取。烏云是位于廠商和安全研究者之間的安全問題反饋平臺，此前多次發布國內企業信息系統的技術漏洞，推動企業進行漏洞修復。

　　這件事情引起的震動頗大，盡管爆出消息的烏云漏洞平臺在報告時措辭比較專業，但“可被任意黑客讀取”幾個字消費者還是懂的，這也是恐慌的根源。周圍很多人第一時間致電發卡銀行，請求更換信用卡或掛失，因接入用戶過多，一些銀行客服電話還遭遇占線，這是以前從未遇到過的。

　　攜程方面針對此事給用戶造成的困擾發表致歉。攜程表示，經過連夜技術排查，公司已經在發現問題后的兩小時內修復了這個漏洞，經查，攜程的技術開發人員之前是為了排查系統疑問，留下了臨時日志，因疏忽未及時刪除，目前，這些信息已被全部刪除。93名潛在風險用戶已被通知換卡，其余攜程用戶用卡安全不受影響。事件發生后，攜程同各大銀行均取得聯系，經核實，目前也沒有出現用戶信用卡被盜刷的情況。攜程鄭重承諾，未來，倘若發生安全漏洞并引起用戶損失，攜程將給予全額賠付。”

　　然而，事件的影響并未平息。有銀行客服反映稱，攜程網的公告安撫可能收效甚微，工商銀行某客服人員告訴記者，昨天（3月23日）打電話要換卡的人很多，“我自己就接了10個左右”。

　　最新旅游行業報告請查閱中國報告大廳發布的《2012-2016年旅游行業市場發展現狀及投資預測分析報告》。

　　違反“禁止記錄CVV”規定？

　　根據烏云的報告，漏洞泄露的信息包括用戶持卡人的姓名、身份證號、銀行卡類別、銀行卡號、銀行卡CVV碼（即由卡號、有效期和服務約束代碼生成的3位或4位數字），以及銀行卡6位Bin（用于支付的6位數字）。也就是說，黑客若有了這一套信息，就能盜用用戶賬戶。事件發生當晚，攜程方面確認了這一“安全漏洞”的存在。

　　針對烏云的爆料，質疑聲轉向了 “攜程違反了銀聯此前禁止記錄CVV的規定”。據宇博智業了解，CVV即銀行信用卡背后的三位驗證碼，在“無卡支付”環節，只需提供卡號及此三位驗證碼就可完成支付。

　　“攜程在事件中有責任，信用卡CVV碼不應該保存在本地平臺。攜程在付款過程中需要記錄并轉發給銀行接口用戶信息，但是記錄日志，破壞了支付安全性。”旅游界資深人士愛游觀察負責人鄭榮鋒向記者表示，相信此次事件對攜程的品牌和信譽度已經造成影響，特別是長期以來對攜程服務有依賴性的商旅客戶。

　　作為敏感的隱私泄密事件，這次事故在微博和微信等社交平臺產生了大量的轉發傳播。尤其近期傳言國家將對互聯網金融的發展作出限制，這次事件對于“支付寶們”不是好消息。

　　勁旅咨詢CEO魏長仁亦分析指出，“這個事件肯定會影響消費者對攜程的信任度。因為現在基本全部的機票款，部分酒店，旅游度假和其他更多類型產品都需要在線支付。這個事件一定會促使攜程對用戶信息安全問題更加重視。”

　　拷問OTA支付安全難題

　　“在線旅游行業應該是國內最早在機票、酒店領域實現信用卡預授權的行業，在支付寶和微信支付未流行起來之前，攜程和藝龍作為在線旅游行業的代表，已經將線上支付通過信用卡的模式普及得非常優秀了。很多高端商旅用戶都是因為攜程和藝龍上具有便捷的信用卡支付功能，而使用它們的服務。事件會對這部分商旅用戶群體產生比較大的影響。”鄭榮鋒指出。

　　在線旅游行業一資深合伙人向記者透露，“實際上，OTA們對信息的安全是非常重視的，在我的觀察里，不管是攜程、去哪兒網還是藝龍，他們在數據保密方面還是做得很好的。”

　　“現在攜程方面曝出用戶（隱私）的泄露，也會對其他電子商務平臺起到警示作用。OTA們應該迅速自查，避免類似的事件再次發生，影響消費者權益。”魏長仁說。

　　宇博智業市場專員了解到，近年隨著移動網絡的發展、互聯網理財產品的風靡，平板電腦、智能手機等手持終端設備的普及，新型移動支付領域也成了釣魚軟件、黑客等的覬覦之地。CNNIC最新數據顯示，2013年因網上支付發生安全問題的網民數占整體上網人數的4.0%，影響人數達2010.6萬人。其中，個人信息泄露比例達42.9%，賬號密碼被盜比例達23.8%。

　　層出不窮的新型騙術、花樣翻新的黑客木馬，無一不在拷問著網絡支付安全問題。“創新永遠伴隨著風險，相關機構應提高自身安全技術業務；同時，希望更多宣傳和普及用戶安全意識教育。希望有更多國際知名信息安全認證機構一起保障用戶的個人信息安全。這個過程就猶如監管和檢查食品安全一樣。”華美酒店顧問有限公司首席知識管理專家趙煥焱強調。

　　大數據安全蒙陰影

　　盡管其他網站并未暴露與攜程網一樣的風險，但大數據時代的網絡信息安全還是受到拷問。

　　此前，包括當當網、亞馬遜、京東商城、7天酒店在內的多家網站也曾爆出用戶個人信息遭泄露的報告，但是個人信息與信用卡信息相比，攜程網的紕漏顯然更為嚴重。

　　安全專家舉例說明，黑客可以通過用戶的手機號碼、銀行卡號和CVV注冊第三方支付賬號，從而跳過用戶和銀行綁定的手機，進行盜刷，“這些數據可以用來創建或關聯第三方支付，國內第三方支付公司多達幾百家，可以利用的點很多。受害者可能隨時出現資金被盜。”

　　對此，攜程網人士解釋稱，這是攜程旅行網在技術調試過程中，出現了短時漏洞。“除漏洞發現人做了少量的測試下載并已全部刪除外，沒有出現惡意下載有關數據的情況，用戶在攜程的交易仍舊是安全的，用戶信息沒有受到影響。”

　　MediaVCTO、原Google技術總監胡寧分析，可能攜程并未故意存儲CVV信息，但其數據傳輸為明文，且線上竟長時間打開調試功能，導致系統日志中亦為明文，又未及時清理，所存儲的服務器還有安全漏洞。一步錯，步步錯，“用戶信用卡信息泄露，并非犯低級技術錯誤這么簡單。敏感信息需加密存儲、線上開調試功能需慎重、系統日志要及時清理、服務器安全性要達標，這都是常識。”胡寧說。

　　據悉，攜程已建立安全應急響應中心，并設立了信息安全獎勵基金，獎勵為攜程找出漏洞的信息安全衛士。此事也給當前火熱的網絡支付以及大數據安全蒙上陰影。