3月22日攜程出現(xiàn)重大安全漏洞,攜程安全支付日志可遍歷下載,導(dǎo)致大量用戶銀行卡信息泄露 (包含持卡人姓名身份證���、銀行卡號、卡CVV碼�、6位卡Bin)。
盡管漏洞僅持續(xù)了兩個多小時����,不過事件引發(fā)的恐慌仍在持續(xù)�����。目前看來,該漏洞引發(fā)的擔(dān)憂和憤怒大大超過了漏洞造成的實際危害本身��。
恐慌遠超實際影響
根據(jù)攜程官方的說法���,目前并沒有監(jiān)測到有用戶出現(xiàn)信用卡被盜刷現(xiàn)象����,且該漏洞僅影響到了93名用戶�,攜程已經(jīng)通過電話通知用戶更換信用卡,并給予每人500元禮品卡作為補償����。
同時攜程承諾若發(fā)生盜刷,攜程將賠償用戶損失���。
國內(nèi)頂級白帽安全團隊Keen Team的安全專家表示���,被泄露的日志也并不像傳聞所說的不安全,在安全支付日志中被錯誤記錄的用戶敏感信息���,包括信用卡號�、信用卡有效期、信用卡CVV三位驗證碼是經(jīng)過AES加密后存儲在安全日志中的���。在加密密鑰沒有對外泄露的情況下�����,AES的加密強度足以抵御來自民間的解密嘗試����,加密處理過的用戶信息在一定程度上還是得到保障的��。
按照上述解釋�,本次漏洞雖然聽上去驚悚,但是實際影響是:1�、只有3月21-22日消費的93名用戶受影響;2���、攜程將承擔(dān)用戶損失�;3����、被泄露的日志也很難被黑客利用��。
不過用戶的負面情緒并沒有因為這些解釋而有所緩和���,直到攜程發(fā)出解釋后,多家銀行的客服電話仍然被打爆���,有用戶甚至憤怒得剪毀了綁定的銀行卡,有用戶在攜程官方微博中評論道�,此事的重點不在于漏洞,而在于違法存儲用戶信息����,而500元賠償?shù)男袨橐脖恢副苤鼐洼p。
相比起實際損失�,該事件引發(fā)的三大恐慌更為令人擔(dān)憂。
一�����、PCI DSS認證形同虛設(shè)��?
PCI DSS即第三方支付行業(yè)(支付卡行業(yè)PCI)數(shù)據(jù)安全標準����,該標準由VISA和MasterCard等機構(gòu)牽頭制定����,支付公司都會被要求通過這一安全認證�����。這一標準規(guī)定CVV���、追蹤數(shù)據(jù)����、磁條或PIN數(shù)據(jù)等特定信用卡信息不能被商戶保存�����。
攜程作為上市公司��,在上市時應(yīng)通過了這一安全認證�,不過此次泄露的日志卻顯示攜程明文記錄了這些信息。
一名安全行業(yè)資深人士表示���,PCI DSS含金量越來越低���,通過認證后去把標準認真落地的公司越來越少��,通過PCI DSS更像是花錢買了一個牌照�,并不說明任何問題����。
這一說法影射了整個支付安全行業(yè)的安全問題——這次暴露問題的是攜程,其他通過PCI DSS標準的公司甚至上市公司是否存在同樣的問題��?用戶的信用卡敏感信息被多少公司記錄著�?下一家會是誰�?
若PCI DSS標準缺乏管束力,通過這一標準并不意味著安全����,那么其他與支付業(yè)務(wù)直接相關(guān)的公司也將受到一定的信任危機。
二��、給央行扼殺在線支付提供口實�����?
此次攜程漏洞出現(xiàn)的時間相當微妙�����,就在本月央行緊急發(fā)文暫停線下二維碼支付、虛擬信用卡等面對面支付服務(wù)�,盡管央行的說法是出于安全考慮,不過更多人愿意相信是移動支付動了銀聯(lián)的奶酪����。
而攜程這一漏洞的出現(xiàn)恰逢其時地證明了在線支付的風(fēng)險,有相關(guān)技術(shù)人士透露����,此次泄露是因為無線部門在手機APP調(diào)試過程中保存了日志并在Web.config開了目錄遍歷,也就是說問題出在移動端��,所以客觀上這一事件的發(fā)生可以給央行封殺移動支付提供口實��。
盡管這一說法有陰謀論嫌疑�,不過兩起本無關(guān)聯(lián)的事件引發(fā)的用戶擔(dān)憂或影響到移動支付本身的發(fā)展。
三����、綁定信用卡危機?
盡管此前就有用戶擔(dān)憂過在移動支付產(chǎn)品中綁定銀行卡或信用卡是否存在安全風(fēng)險����,不過由于騰訊和阿里的大力推進��,用戶的這一疑慮正在消除���。
事實上微信支付和支付寶也并未發(fā)生過用戶銀行卡信息大規(guī)模泄露事件,此前央視對支付寶的質(zhì)疑在支付寶數(shù)次回應(yīng)后影響力也逐漸被抵消��。
不過這次攜程的漏洞直接牽涉到了用戶的銀行卡安全�����,《風(fēng)聲》的導(dǎo)演高群書發(fā)微博稱“堅持不用網(wǎng)銀���,不綁定信用卡����,是十分正確的����?����!?/p>
相對于已經(jīng)習(xí)慣在線支付和移動支付的用戶���,此前不敢嘗試或抱猶豫態(tài)度的用戶是受到這一影響的主要人群���,攜程的事件給了他們足夠的理由拒絕綁定信用卡或使用在線支付�����。
總而言之��,攜程此次漏洞事件本身的危害其實相當有限����,而媒體大規(guī)模曝光���、用戶的廣泛傳播引發(fā)的恐慌以及連帶效應(yīng)遠遠超過了這一事件本身��,事件持續(xù)僅兩個小時�����,而要消除影響需要的時間則遠不止兩個月���。
