攜程信息大漏 洞開(kāi)大數(shù)據(jù)安全命門(mén)

責(zé)任編輯:editor004

2014-03-24 11:15:03

摘自:成都商報(bào)

據(jù)悉,目前攜程已建立安全應(yīng)急響應(yīng)中心,并設(shè)立了信息安全獎(jiǎng)勵(lì)基金,獎(jiǎng)勵(lì)為攜程找出漏洞的信息安全衛(wèi)士。烏云平臺(tái)披露信息顯示,“由于攜程用于處理用戶(hù)支付的安全支付服務(wù)器接口存在調(diào)試功能,將用戶(hù)支付的記錄用文本保存了下來(lái)。

“攜程在手,說(shuō)走就走。”看似輕松的廣告語(yǔ)背后,卻隱藏著信用卡泄密的風(fēng)險(xiǎn)。

3月22日晚,全國(guó)知名票務(wù)服務(wù)公司、在美國(guó)納斯達(dá)克上市的攜程旅行網(wǎng)遇上了一片“烏云”。據(jù)國(guó)內(nèi)漏洞報(bào)告平臺(tái)烏云披露:攜程旅行網(wǎng)支付日志存在漏洞,用戶(hù)銀行卡信息可被黑客任意讀取。一時(shí)間,公眾對(duì)于隱私安全的敏感神經(jīng)再一次被挑動(dòng)。而互聯(lián)網(wǎng)大數(shù)據(jù)應(yīng)用的信息安全問(wèn)題也被推至風(fēng)口浪尖。

一名安全專(zhuān)家舉例說(shuō)明,黑客可以通過(guò)用戶(hù)的手機(jī)號(hào)碼、銀行卡號(hào)和信用卡驗(yàn)證碼注冊(cè)第三方支付賬號(hào),從而跳過(guò)用戶(hù)和銀行綁定的手機(jī),進(jìn)行盜刷。“這些數(shù)據(jù)可以用來(lái)創(chuàng)建或關(guān)聯(lián)第三方支付,國(guó)內(nèi)第三方支付公司多達(dá)幾百家,可以利用的點(diǎn)很多。受害者很容易出現(xiàn)資金被盜的情況。”

據(jù)悉,目前攜程已建立安全應(yīng)急響應(yīng)中心,并設(shè)立了信息安全獎(jiǎng)勵(lì)基金,獎(jiǎng)勵(lì)為攜程找出漏洞的信息安全衛(wèi)士。

攜程高危害漏洞或致消費(fèi)者信息泄露

22日晚間,不少用戶(hù)發(fā)現(xiàn),在微博和微信朋友圈內(nèi), “有沒(méi)有攜程信用卡”、“快點(diǎn)去注銷(xiāo)所有在攜程用過(guò)的信用卡”、“招行已經(jīng)開(kāi)通攜程上相關(guān)信用卡注銷(xiāo)換卡的綠色通道”等消息此起彼伏。而烏云平臺(tái)一段關(guān)于技術(shù)的描述,被認(rèn)為是引發(fā)這一風(fēng)波的重要原因。

烏云平臺(tái)披露信息顯示,“由于攜程用于處理用戶(hù)支付的安全支付服務(wù)器接口存在調(diào)試功能,將用戶(hù)支付的記錄用文本保存了下來(lái)。同時(shí)因?yàn)楸4嬷Ц度罩镜姆?wù)器未做嚴(yán)格的基線(xiàn)安全配置,存在目錄遍歷漏洞,導(dǎo)致所有支付過(guò)程中的調(diào)試信息可被任意駭客讀取”。據(jù)悉,這一被歸類(lèi)為“敏感信息泄露”的高危害等級(jí)漏洞,被指可能導(dǎo)致大量攜程用戶(hù)持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin等信息外泄。

雖然攜程方面公布,3月21日與3月22日的部分交易客戶(hù)可能受到影響,但已有部分使用攜程預(yù)定過(guò)機(jī)票和酒店的消費(fèi)者為保險(xiǎn)起見(jiàn),選擇立即掛失銀行卡或者修改密碼。

許多攜程會(huì)員擔(dān)憂(yōu),在攜程上綁定了信用卡或者用自己的信用卡交易過(guò),那么信用卡的信息面臨泄露的風(fēng)險(xiǎn)。而一旦用戶(hù)信息已經(jīng)泄露,攜程是否補(bǔ)上漏洞對(duì)用戶(hù)就沒(méi)有什么意義了。

涉嫌違反信息安全管理標(biāo)準(zhǔn)

“第一次使用信用卡支付時(shí),需提供信用卡卡種、卡號(hào)、CVV2碼(即信用卡驗(yàn)證碼)等一系列完整信息,然后提交支付。但是,第二次在攜程網(wǎng)使用這張信用卡時(shí),只需提供卡號(hào)后四位及CVV2碼,攜程網(wǎng)就會(huì)完成這次支付操作。” 攜程會(huì)員鄒女士對(duì)記者說(shuō),“這就意味著,攜程存儲(chǔ)了用戶(hù)的相關(guān)信用卡信息。如果泄露出去,那就太可怕了!”

記者在中國(guó)銀聯(lián)風(fēng)險(xiǎn)管理委員會(huì)2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶(hù)信息安全管理標(biāo)準(zhǔn)》中看到如下表述:各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、差錯(cuò)處理所必需的最基本賬戶(hù)信息,不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼及卡片有效期。顯然,攜程網(wǎng)的做法已經(jīng)明顯違反了上述標(biāo)準(zhǔn),

一名不愿具名的安全行業(yè)人士在接受《每日經(jīng)濟(jì)新聞》記者采訪(fǎng)時(shí)認(rèn)為,像淘寶網(wǎng)、京東商城購(gòu)物時(shí)都不會(huì)記錄CVV信息,用戶(hù)是直接將銀行卡數(shù)據(jù)提交給了銀行。“攜程網(wǎng)的做法明顯是違規(guī)的,無(wú)論是否發(fā)生泄密,這是一種潛在的風(fēng)險(xiǎn)。尤其是攜程披露的93名有可能受影響的用戶(hù),其銀行卡信息已足以用于信用卡復(fù)制、克隆。”

他建議,如果用戶(hù)在一周內(nèi)使用過(guò)攜程,特別是21、22日兩天的用戶(hù),可以選擇換卡,并等待攜程進(jìn)一步公開(kāi)的信息。“一年到一周之間的用戶(hù),個(gè)人認(rèn)為風(fēng)險(xiǎn)并不大如果不凍結(jié),那么可以選擇開(kāi)通消費(fèi)短信提醒等信息,幫助加強(qiáng)安全管理。”

93名用戶(hù)已接通知要求換卡

22日晚,烏云網(wǎng)發(fā)布消息提到,攜程技術(shù)人員已經(jīng)確認(rèn)該漏洞,并在兩小時(shí)內(nèi)修復(fù)。對(duì)此,攜程網(wǎng)表示,該漏洞受影響的用戶(hù)為近期的部分交易客戶(hù),目前并沒(méi)有用戶(hù)受到該漏洞的影響而造成相應(yīng)財(cái)產(chǎn)損失的情況發(fā)現(xiàn),用戶(hù)在攜程的交易仍舊安全。此外,如有用戶(hù)因?yàn)樵撀┒丛斐傻呢?cái)產(chǎn)損失,攜程將給予賠償。

昨日下午,攜程網(wǎng)再次回應(yīng)稱(chēng),共有93名用戶(hù)的支付信息存在潛在風(fēng)險(xiǎn),已通知這些用戶(hù)更換信用卡。據(jù)解釋?zhuān)┒词怯捎谠摴炯夹g(shù)開(kāi)發(fā)人員排查系統(tǒng)疑問(wèn)時(shí)未及時(shí)刪除臨時(shí)日志而產(chǎn)生的。目前,這些信息已被全部刪除。 隨后攜程表示,客服人員于昨日通知相關(guān)用戶(hù)更換信用卡,并稱(chēng)銀行方面也會(huì)協(xié)助用戶(hù)辦理?yè)Q卡手續(xù)。截至23日22:00,如果沒(méi)有接到攜程客服換卡通知的用戶(hù),個(gè)人信息便是安全的。

MediaV CTO(首席技術(shù)官)、原Google技術(shù)總監(jiān)胡寧分析,可能攜程并未故意存儲(chǔ)CVV信息。不過(guò),“用戶(hù)信用卡信息泄露,并非犯低級(jí)技術(shù)錯(cuò)誤這么簡(jiǎn)單。敏感信息需加密存儲(chǔ)、線(xiàn)上開(kāi)調(diào)試功能需慎重、系統(tǒng)日志要及時(shí)清理、服務(wù)器安全性要達(dá)標(biāo),這都是常識(shí)。”胡寧表示。

盡管其他網(wǎng)站并未暴露與攜程網(wǎng)一樣的危機(jī),但大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)信息安全還是受到了拷問(wèn),也讓方興未艾的網(wǎng)絡(luò)支付蒙上陰影。

新聞鏈接

在線(xiàn)旅游行業(yè)受到震蕩

攜程“安全門(mén)”事件在引發(fā)公眾討論的同時(shí),也對(duì)發(fā)展壯大中的在線(xiàn)旅游(OTA)互聯(lián)網(wǎng)行業(yè)帶來(lái)一次大的震蕩。

“在線(xiàn)旅游行業(yè)是國(guó)內(nèi)最早在機(jī)票、酒店領(lǐng)域?qū)崿F(xiàn)信用卡預(yù)授權(quán)的行業(yè),在支付寶和微信支付未流行起來(lái)之前,攜程和藝龍作為在線(xiàn)旅游行業(yè)的代表,已經(jīng)將線(xiàn)上支付通過(guò)信用卡的模式搞得比較普及了,很多高端商旅用戶(hù)都是因?yàn)樵跀y程和藝龍具有便捷的信用卡支付功能而使用它們的服務(wù)。這次的事件無(wú)疑將會(huì)對(duì)商旅用戶(hù)這部分群體產(chǎn)生較大的影響。”旅游行業(yè)資深分析人士鄭榮鋒告訴記者。

“攜程曝出的漏洞也會(huì)對(duì)其他電商平臺(tái)起到警示作用,尤其是OTA應(yīng)迅速自查,避免類(lèi)似的事件再次發(fā)生,影響消費(fèi)者權(quán)益。”勁旅咨詢(xún)CEO魏長(zhǎng)仁認(rèn)為。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)