携程究竟错在哪里:支付流程和风险管理
这次安全漏洞事件,携程暴露出来的不仅仅是信息泄露一点,还有支付流程和风险管理问题。专注于安全保护的梆梆安首席运营官赵宇认为,携程暴露出来的不仅仅是信息泄露一点,还有支付流程和风险管理问题。
携程需要加大信息安全上的投入
这次安全漏洞事件,携程暴露出来的不仅仅是信息泄露一点,还有支付流程和风险管理问题。
本刊记者 朱晓培
如同硬币的正反面,科技发展带给人们便利的同时,各种烦恼也如影随形。
3月22日,乌云漏洞平台发布了一个编号为WooYun-2012-54302的漏洞报告。报告指出,由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可以被任意黑客读取。
这将导致大量用户银行卡信息泄露,其中包含持卡人姓名、身份证号、银行卡号、卡CVV码、6位卡Bin等等。有了这些信息,基本已经可以进行支付。
那么,携程究竟错在哪里?专注于安全保护的梆梆安首席运营官赵宇认为,携程暴露出来的不仅仅是信息泄露一点,还有支付流程和风险管理问题。
1.付款流程没有经过安全评估
“上市公司产品发布前是需要有安全评估流程的,但显然携程缺失了这一环节。”赵宇说。当然,由于国内的信用卡支付大多数时候需要短信验证,此次信息泄露对用户的影响可能“没那么夸张”。事后,漏洞的发现者、乌云漏洞报告平台核心白帽子黑客王音也在其个人微博发布声明称:“大家对于信用卡相关话题的反应有点过于敏感了,目前本人已经将安全测试涉及的日志信息彻底删除,而且卡号等敏感信息有加密,携程也已经及时修复漏洞,相关信息并没有被传播。”
2.存储数据的边界
从纯技术的视角说,这个安全事件并不是很严重,携程在发布的声明中解释说,携程技术人员之前为了排查系统疑问,留下了临时日志,因疏忽未及时删除。但是作为客户,人们不免要追问:为什么携程会保存CVV信息?作为OTA等第三方平台,合规做法是用户卡信息系统不得记录,但实际上,为了方便旅客下次消费直接调出记录支付,网站通常会记录下客户的信用卡全部信息。
对于第三方平台来说,只要保存了用户资料,就会有风险存在。“在中国,一个文件从电脑(手机)到服务器中间的传输过程中,可能被10多家公司的10多种设备监听。”赵宇说,无法保障还原后的隐私不会被泄露出去。
在王音看来,目前携程需要做的是加大信息安全投入,让技术人员有动力去处理安全问题,从而营造出越来越好的安全生态,“促使这个生态形成,就是乌云要做的事情。”
历史上的重大信息泄露事件
1.如家、七天开房信息泄密:曝光用户信息多达2000万条
2013年10月,如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。在一个名为“查开房”的网址,只需输入姓名或身份证号,即可查询到包括身份证号、地址、手机号、登记日期等真实信息。
2.棱镜门事件:美国政府窥探着全世界的一切
据美国中情局前职员爱德华·斯诺登爆料:“棱镜”窃听计划开始于2007年的小布什时期,监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节。
3.“社工库”叫卖用户账号、密码
2012年11月,一个自称是国内最全、每日更新300兆的“社工库”网站,公开出售自己所拥有的互联网用户的账号和密码,据称开价500元就可以买到100万条密码。该网站称自己拥有“300亿彩虹库”,“所有的密文都可以瞬时被破解”。在其主页上的标语是“社工库只有你想不到的查询方式,没有我们查不到的信息。”
4.CSDN、天涯网等大面积泄露用户账号
2011年12月,CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。随后,多玩、世纪佳缘、走秀、天涯、支付宝、京东等网站相继被曝用户数据遭泄密。