業内人(rén)士透露旅遊類網站(zhàn)在線支付方式更爲寬松

國(guó)内網絡安全問(wèn)題反饋平台——烏雲漏洞平台發布消息稱，由于攜程網系統存技術(shù)漏洞，用戶個人(rén)信息、銀行卡信息可(kě)能會遭洩露。業内分(fēn)析人(rén)士稱，攜程并沒有支付牌照(zhào)，按規定不允許存儲用戶銀行卡信息，此次事(shì)件(jiàn)暴露出相(xiàng)關企業内控機(jī)制方面的短(duǎn)闆以及部分(fēn)第三方支付機(jī)構風(fēng)險管理(lǐ)存在隐患，建議(yì)有關部門(mén)盡快(kuài)出台保護個人(rén)隐私的法律法規，同時對洩露客戶信息的機(jī)構進行處罰，爲在線支付把好“安全閥門(mén)”。

綜合京華時報記者廖豐平亦凡新華社電

□事(shì)件(jiàn)

交易網站(zhàn)違規存CVV碼

攜程将用于處理(lǐ)用戶支付的服務接口開啓了調試功能，使部分(fēn)向銀行驗證持卡所有者接口傳輸的數據包直接保存在本地服務器，有可(kě)能被黑(hēi)客所讀(dú)取。攜程沒有支付牌照(zhào)，按照(zhào)規定不允許存儲用戶銀行卡信息，尤其是CVV碼（又叫用戶識别碼，是銀行卡進行非面對面交易時用于确認用戶身(shēn)份的識别碼，作(zuò)用類似于密碼）。而上述調試接口，通常是攜程需要和合作(zuò)公司調試時才打開，數據包通常會有多種加密功能，即便被下載也很難破譯。

據了解，攜程合作(zuò)的銀行包括工(gōng)商銀行、中國(guó)銀行、招商銀行、浦發銀行等十餘家，第三方支付機(jī)構包括支付寶、财付通、銀聯在線等。

攜程作(zuò)爲納斯達克上市的在線第三方支付企業，必須遵守《第三方支付行業數據安全标準》，其中明确規定了如(rú)何實施數據保護，以及哪些信息可(kě)以保存、哪些信息不能保存，CVV碼屬于不允許存儲的敏感數據。

“交易網站(zhàn)存CVV碼，相(xiàng)當于小時工(gōng)偷偷配了你(nǐ)家的鑰匙，同時，他(tā)還(hái)知道關于你(nǐ)家所有的信息。”新浪認證微博、汽車之家創始人(rén)李想說(shuō)，“需要輸入CVV碼和存儲CVV碼是兩個概念。有些信息可(kě)以存，有些信息無論如(rú)何也不能存，攜程存了無論如(rú)何也不該存的CVV碼，這相(xiàng)當于把你(nǐ)信用卡的密碼存儲并洩露了。”

□揭秘

旅遊産品支付手段較“寬松”

烏雲曝出的攜程支付漏洞事(shì)件(jiàn)讓不少人(rén)非常詫異：攜程爲什麽要保存信用卡的CVV碼？記者調查發現，這跟旅遊産品預訂的特性有關。

以機(jī)票和酒店(diàn)爲代表的旅遊産品，價格随着庫存、預訂時間實時變化。網購(gòu)一張機(jī)票的流程是，用戶查詢到一個航班以後，比如(rú)看(kàn)到一張400元3折的機(jī)票，用戶輸入乘機(jī)人(rén)姓名和身(shēn)份證點擊下一步，然後完成支付，代理(lǐ)商在看(kàn)到用戶完成支付後會憑借這個完整的訂單進行出票。但(dàn)用戶填寫信息需要一定時間，對網購(gòu)熟悉的用戶完成支付最快(kuài)會花30秒，慢(màn)的則需要1-2分(fēn)鍾，在這過程中，此前的3折票很可(kě)能已被航空公司取消或者變價，價格可(kě)能漲到了450元，這就(jiù)出現了支付成功但(dàn)不出票。

所以說(shuō)并不是填寫完個人(rén)信息，點擊下一步票就(jiù)預訂成功。如(rú)果消費者預訂時相(xiàng)關産品庫存和價格數據與實時情況相(xiàng)匹配，則預訂成功，相(xiàng)關款項也會支付出去(qù)。然而，當消費者的預訂指令發出後，後台處理(lǐ)往往會出現各種情況，如(rú)庫存沒有了，或者價格漲了，這時候，預訂平台就(jiù)會反饋消費者是否做其他(tā)選擇或繼續預訂。爲了優化消費者的體(tǐ)驗，對于在線旅遊網站(zhàn)而言，将消費者的姓名、身(shēn)份證、信用卡号、CVV碼等儲存起來(lái)，在這種情況下預訂反應機(jī)制會更靈活，後台系統訪問(wèn)相(xiàng)關數據庫回轉機(jī)制的頻率比買實體(tǐ)商品要高。

第三方支付也存儲用戶信息

從(cóng)技術(shù)上看(kàn)，旅遊産品支付條件(jiàn)“更寬松”，預訂旅遊産品是不是比普通網購(gòu)更不安全？一位資深技術(shù)人(rén)士告訴記者，事(shì)實上，包括第三方支付平台也會将消費者的相(xiàng)關數據儲存起來(lái)。正規的網購(gòu)平台儲存數據後會進行加密，之後數據進入一個密封的管道中，隻有和銀行對賬時，相(xiàng)關數據才會解密。

在預訂成功後，數據是如(rú)何“保存”下來(lái)的呢(ne)？其實相(xiàng)關數據此時已在預訂後台被删掉，進入到另一個加密的信息儲存庫（非VCC）中，以便用戶日(rì)後預訂時調出。“攜程這次的數據洩露事(shì)件(jiàn)，不是信息儲存庫裡(lǐ)的數據洩露了。而是因爲攜程技術(shù)人(rén)員(yuán)将用于處理(lǐ)用戶支付的服務接口開啓了調試功能，也就(jiù)是說(shuō)對預訂後台的部分(fēn)數據解密（包括CVV）進行排查技術(shù)上的問(wèn)題，本來(lái)這些數據應該下載到本地日(rì)志服務器中（安全性極強，外界無法訪問(wèn)），但(dàn)這些數據卻被放(fàng)在Web服務器中，可(kě)以說(shuō)是不應該發生(shēng)的低級錯誤。”該資深技術(shù)人(rén)士說(shuō)。

□提醒

不要在不信任網站(zhàn)填寫核心信息

“中國(guó)黑(hēi)客教父”龔蔚表示，攜程的本次系統漏洞是由一些小漏洞構成的，單看(kàn)每一個小漏洞都(dōu)不嚴重，但(dàn)聯在一起就(jiù)變成了“安全事(shì)故”。

“事(shì)實上，（網站(zhàn)存儲）CVV信息是強加密的，即便是黑(hēi)客也不一定能破解。”龔蔚說(shuō)，“黑(hēi)客在盜取此類信息時需要滿足三個條件(jiàn)：加密碼可(kě)破解、長期記錄、漏洞沒有修複。”

龔蔚表示，第三方支付機(jī)構爲了能夠記錄、追蹤、調試用戶的購(gòu)買環節，會在程序運行過程中記錄用戶的個人(rén)信息，這是正當行爲，但(dàn)是這樣的信息不是每個人(rén)都(dōu)能看(kàn)到，而且需要加密。一般調試過程都(dōu)是在虛拟的條件(jiàn)下完成的，并在開發或調試完成之後、上線之前檢查所有數據端口是否關閉。

“在線填寫的個人(rén)信息并不是都(dōu)加密的，像姓名、身(shēn)份證号就(jiù)是明文，銀行卡号、CVV碼就(jiù)會強加密。”龔蔚說(shuō)，“之所以一部分(fēn)個人(rén)信息不加密，是出于資源使用效率和用戶體(tǐ)驗的考慮，加密要消耗系統資源，并且還(hái)需要解密、還(hái)原的過程，這樣使用起來(lái)程序繁多、速度很慢(màn)。”

龔蔚建議(yì)，企業一定要有安全意識，不能忽略小漏洞。而作(zuò)爲消費者，在選擇購(gòu)買支付網站(zhàn)、填寫個人(rén)信息時一定要謹慎。“當提交含有身(shēn)份證号、銀行卡号、密碼等核心個人(rén)信息時，一定不要提交給不信任的網站(zhàn)。一般來(lái)說(shuō)，知名的大(dà)網站(zhàn)技術(shù)相(xiàng)對成熟，不會出現黑(hēi)客在網站(zhàn)中直接加入代碼，獲取用戶信息的現象。而諸如(rú)小的代購(gòu)網站(zhàn)，安全性就(jiù)降低很多。”

此外，龔蔚表示，除非必要，否則不要使用真實的身(shēn)份，能使用虛拟身(shēn)份就(jiù)盡量使用，這樣可(kě)以減少個人(rén)信息洩露。“在網上支付的時候一定要慎重，最好給銀行卡設置網購(gòu)限額、支付短(duǎn)信通知等安全等級保護，一旦銀行卡被盜用，可(kě)以立刻發現，減少損失。”

□建議(yì)

監管部門(mén)需強力介入

盡管攜程網及時回應了公衆質疑，但(dàn)公衆的擔憂似乎并未消減。廣州一家外貿公司的陳小姐(jiě)是攜程網的忠實用戶：“攜程網承諾，未來(lái)如(rú)果因安全漏洞引起用戶損失，将承擔全部責任并給予賠付。如(rú)何界定損失，企業說(shuō)了算嗎(ma)？”陳小姐(jiě)很疑惑。

公開信息顯示，到事(shì)發爲止所有的調查和損失認定工(gōng)作(zuò)均由攜程網一方進行，并未引入第三方監管機(jī)構。業内分(fēn)析人(rén)士坦言，目前國(guó)内還(hái)沒有相(xiàng)關立法對第三方支付機(jī)構獲取用戶信息進行規範管理(lǐ)。

此次攜程洩露用戶信息反映出在線支付行業不僅要加強行業自(zì)律、更需要監管部門(mén)強力介入，亟待通過出台明文法規、進行合規性、合法性檢查的方式将在線支付納入到行業監管的大(dà)局之下。

中央财經大(dà)學銀行研究中心主任郭田勇認爲，攜程洩露用戶信息事(shì)件(jiàn)暴露出部分(fēn)第三方支付機(jī)構風(fēng)險管理(lǐ)存在隐患，建議(yì)有關部門(mén)盡快(kuài)出台保護個人(rén)隐私的法律法規，同時對洩露客戶信息的機(jī)構進行處罰，嚴把第三方支付的“安全閥”。