攜程網支付漏洞大起底
責編:admin |2014-10-20 15:21:50互聯網已深入到社會的各個角落。改變著人們的生活、學習、工作方式、消費習慣等。互聯網,讓人們足不出戶,便可知曉天下事,買到想要的東西,看到想要見到的人,可滿足不同人群的不同需求。但是,卻又不得不面對這樣一個事實:互聯網在給人們生活、工作帶來便利的同時,也給用戶個人信息的安全問題帶來了隱患。
臨時日志未刪 攜程網現“支付漏洞”
今年3月22日,“烏云”網站漏洞報告平臺發布公告,稱在線票務服務公司攜程網存在支付漏洞,在攜程網用信用卡支付,顧客姓名、身份證信息 、銀行卡卡號、CVV2碼等信息都會被保存在攜程網本地服務器,且有可能被泄露,給客戶信用卡盜刷埋下隱患。(烏云是一個位于廠商和安全研究者之間的安全問題反饋平臺,此前多次發布國內企業信息系統的技術漏洞,推動企業進行漏洞修復。)
對此,攜程方面表示,在得知該消息后,公司即展開了技術排查并在消息發布兩個小時內修復問題。經查,攜程的技術開發人員之前是為了排查系統疑問,留下了臨時日志,因疏忽未及時刪除,目前,這些信息已被全部刪除。
據了解,各個互聯網公司在處理用戶的交易時,都需要用戶提交個人支付信息,但需要對信息加密以保證安全。存有這些信息的交易日志,會短期停留于公司系統中,在處理完相關交易后,系統會刪除這些信息。如果開發人員需要調取測試等,他們看到的數據也是加密過的,并不是直接看到用戶姓名、卡號、密碼等。
無獨有偶,類似攜程的泄密事件絕非個例。2012年CSDN事件在前,兩年后攜程事件歷史再現。只不過CSDN被泄密的部分是歷史數據庫,不是金融數據;此次攜程泄密的是正在支付的數據,是用戶的銀行卡信息。所以,攜程泄密的后果可能比CSDN泄密事件的后果要嚴重。
疑信息泄露 信用卡被盜刷
由于個人信息遭泄露,記者的朋友趙先生險些就被騙子騙走了不少錢。在憤憤不滿之余,趙先生更氣憤的是泄露他個人信息的公司。
那么,到底是誰泄露了他的個人信息?
今年6月份,趙先生通過網絡平臺購買了東方航空(600115,股吧)由昆明飛往上海的機票。就在航班起飛前一天,趙先生便收到了以“東航”名義發送的短信,稱其將要乘坐的航班由于飛機的原因,導致飛機不能正常起飛,并要求趙先生辦理退票或者改簽。
短信內容中,趙先生的所有信息全都準確無誤,包括旅客的姓名、乘機日期、航班號、出發地、目的地、手機號,并且在短信的最后附上一個辦理客服的“400”開頭的電話,以及落款“東航”。
由于短信上所有的信息都準確無誤,趙先生差點信以為真。但是經常出差的趙先生并沒有立即撥打短信上的電話,而是撥打了東航的客服熱線,工作人員告訴趙先生,航班正常起飛。
雖然是烏龍事件一樁,但是趙先生仍氣憤的在朋友圈里發了個心情:“嚓,神莫情況?”并配上了短信內容,以表氣憤。
讓趙先生感到意外的是,信息在朋友圈內一經發出才知道,原來自己的朋友張小姐身上也真真切切發生過這類事情,并且信用卡被盜刷了5000元。
記者聯系上張小姐后,她告訴記者,她老公的信用卡信息疑遭攜程網泄露,被盜刷5000元。然而,當她選擇報警卻被拒,因為當地警方根據屬地管轄原則要求報警人向戶口所在派出所報警。
同時,張小姐在第一時間也告知了攜程網,攜程方面給的回復是先讓張小姐等消息。然而,就在張小姐猶豫要不要再次致電攜程網,并要求其在24小時內必須給到回復,否則將報警、向消協投訴、向媒體投訴之時,攜程網已經將盜用人購買的機票按退票處理了。
張小姐說:“因為,盜用她老公信用卡的人,在攜程上購買了兩張機票,并且留下了自己的姓名、身份證號碼以及聯系電話。”最后,張小姐選擇了息事寧人,并沒有再給攜程打電話,損失了1000多元的退票費。
但是,對于客戶的賬戶被盜刷,是否因為系統漏洞?錢江晚報記者曾聯系了攜程旅行網。攜程旅行網杭州分公司市場傳播部的徐經理表示,至于如何被盜刷,經過信息安全部的確認,是因為密碼泄露導致,并不是因為系統漏洞。
他介紹說,要盜取賬戶里的資金,對方需要知道登錄密碼以及支付密碼,很可能不法分子通過一定手段掌握了賬戶的兩個密碼。
那如果賬戶發生盜刷,攜程網是否有相應機制可以制止呢?
徐經理表示,對于盜刷行為,網站其實設有預警機制。一旦某個賬戶出現IP地址異常、購買大量可變現產品或者出現與客戶消費習慣不一致的情況,后臺就會有客服人員聯系客戶進行提醒。
“有了這個預警機制,如果確認賬戶確實被盜刷,我們就可以及時終止交易挽回損失。”徐經理承認,這套預警機制確實沒有發揮作用。
攜程未經過PCIDSS認證 所以不安全?
在漏洞門之后,“PCIDSS”認證成為輿論熱詞,眾多網友和媒體質疑攜程,并沒有經過“PCIDSS”認證,意味著攜程不安全。
據安全審核機構atsec中國總經理劉巖介紹,“PCIDSS”,中文全稱為支付卡產業數據安全標準。它是由PCI安全標準委員會的創始成員(visa、mastercard等五大國際卡組織)制定并維護的一套保護持卡人數據的技術和操作的基本安全要求措施。通過審核并持續維護PCIDSS標準的合規,可以有效降低網站發生數據泄露的風險,保護支付數據的存儲和傳輸安全。據悉,去哪兒網是目前國內唯一一家通過該認證的旅游預訂平臺。
但也有人質疑PCI的安全性,比如,國外兩家零售商Target和NeimanMarcus都是PCIDSS標準的合規企業,但都遭遇過黑客入侵,導致信息泄露。
對此,一位專業技術人員表示,即使通過PCIDSS認證也做不到100%的絕對安全,“但至少體現了一種態度”。
信用卡被盜刷用戶能否獲賠?
如果用戶信息泄露,企業負有賠償責任。但是損失需要用戶出具證明。因此武漢盈科律師事務所的彭功平律師提醒道,一旦出現盜刷情況,用戶要自己保存證據并及時與網絡服務商聯系。
彭功平稱,我國現行的《侵權責任法》,2012年全國人大通過的《加強網絡信息保護的決定》以及今年“3?15”剛剛開始施行的《消費者權益保護法(修訂案)》等,均對網絡用戶個人敏感信息的保護做出了規定。對此,網絡服務提供商必須采取充足的技術措施對用戶信息予以保護,包括身份證號碼、支付信息等。出售、非法提供、非法竊取個人信息屬于犯罪行為。如果攜程并不是故意存儲,并不屬于上述行為,也應該承擔未能充分保護用戶信息的民事責任。
如何才能有效保護個人信息?
彭功平律師告訴記者,目前我國關于個人網絡信息保護的法律法規并不完善,網民網上交易時應當謹慎小心。并給出了三點建議。
首先,不要將自己的全部信息填入用戶賬號設置中,即使大的電子郵件網站也要警惕并養成對重要數據和文件備份的好習慣,防患于未然。不瀏覽不健康的網站,也不要為跟隨潮流去“裸奔”,以免讓計算機遭受木馬入侵和染上病毒,致使個人信息丟失和泄露。
其次,在購物上,要學會如何區分虛假信息,例如網上大肆叫賣卻沒有實物圖和詳細的物品信息的一定要謹慎,選擇商業信譽好、經營規模大、商業信用度高、網民普遍評價優的賣家,這樣會把交易風險降到最低。
最后就是保持“謹慎原則”和“保密原則”。在匯款和交易之前,謹慎是必要的,不能為了貪小便宜而失大利;對自己的銀行帳號、密碼等注意保密。還有一點值得提醒的是,密碼應妥善保管,并經常更改。避免使用公共場所的電腦、避免共享個人筆記本電腦中的數據、及時升級殺毒軟件將大大減少泄密的機率。