📖 ZKIZ Archives

攜程「洩密門」與互聯網金融 云端的危險

攜程的信用卡數據洩露問題，折射出交易留痕在互聯網企業是一個普遍的做法。如果IT企業留痕了你綁定的銀行賬戶信息，那麼解綁本身有可能也是徒勞。

未來我們的銀行賬戶一定在云端，潛在風險是，將有可能被眾多來自云端的匿名黑手所操縱。

2014年3月22日，中國在線旅遊巨頭攜程公司被爆出「支付漏洞」，用戶信用卡信息有可能被黑客讀取，一時間引發成千上萬用戶的擔心，紛紛打聽是不是要更換信用卡。

這一信息洩露事件背後，是互聯網金融的賬戶問題。

「驚險的一躍」

在銀行賬戶被綁定，尤其後置綁定之後，強實名驗證賬戶以犧牲安全性為主要代價，換取了弱實名甚至匿名互聯網服務的便捷性。

當我們討論互聯網的時候，起點是可數據化、可互聯網化、大數據、賬戶以及平台。關於賬戶，在上一篇《騰訊與阿里的金融之戰：變用戶為賬戶》中（刊於本報3月11日），已經區分了賬戶、客戶、以及前置和後置綁定等問題。

賬戶必須有實名身份驗證，在此基礎上才能加載服務，但實名安全驗證也有強弱之分，以銀行賬戶和全球通賬戶為例，前者是強實名，後者是弱實名。這種強弱分別，取決於提供賬戶服務的機構，在賬戶的支付、非授權使用時，所承擔責任的不同。

在銀行開立儲蓄賬戶之後，銀行已就賬戶的安全、現金存取、匯款結算、投資理財等提供了相應服務，但儲戶的體驗感受往往不佳。

另一方面，IT企業提供的電子郵件、支付寶、QQ或微信帳號不是賬戶，這些帳號往往是匿名且安全驗證十分簡便。當我們越頻繁使用這些軟件服務號，其潛台詞是這些服務的使用體驗更好。但任何體驗良好的IT服務，最終都要在服務模式之上加載盈利模式，這是「驚險的一躍」。IT企業的這種先體驗的模式，和銀行賬戶的提供方式，在邏輯順序上是完全相反的。

當IT服務不能獨立提供，必須綁定銀行賬戶時，這種綁定是前置綁定，例如買家使用的支付寶。當IT服務先獨立提供，然後被引導綁定銀行賬戶時，這種綁定是後置綁定，後置綁定的成功率較低，例如QQ和微信的銀行卡綁定。

當銀行賬戶被後置綁定到一些軟件服務帳號之上，良好的使用體驗，會讓使用者建立起這樣的信心，即使用後置綁定的銀行賬戶也將同樣安全便捷。但需要理解的是，綁定意味著賬戶發生了不小的變化。

在銀行賬戶未被綁定之前，銀行對客戶真實身份的驗證，採取了限場景、強實名、多重驗證的方式，以確保具有全功能的銀行賬戶，處於安全和授權的使用狀態之下。所謂限場景，在於金融機構往往會清晰地告知客戶，其可以接入賬戶的場景，如網點、ATM、網絡銀行等，這些場景是有限的。所謂強實名，身份證、家庭地址、緊急聯繫人等往往是需要的。所謂多重驗證，是銀行和收單機構往往會交叉地、反覆地驗證身份，例如收銀員要求持卡人出具銀行卡，而卡中心的客服電話有時也要求客戶確認正在發生的大額奢侈品消費是否由持卡人本人進行。這些諸多限制必然使客戶接入和使用賬戶的便捷性受到很大限制。

在銀行賬戶被綁定，尤其後置綁定之後，強實名驗證賬戶以犧牲安全性為主要代價，換取了弱實名，甚至匿名互聯網服務的便捷性。綁定意味著對銀行賬戶安全性的削弱，在軟件賬號服務企業、電信通道企業、第三方支付企業、數據存儲企業，以及銀行都掌握賬戶之後，也就是說，銀行無法獨自對銀行賬戶的安全性承擔責任。場景、身份和多重驗證都被弱化或模糊了。

這是因為IT企業對微信等軟件服務賬戶的密碼，中國移動等對客戶掛失補卡流程，刷碼機背後連接的公眾網絡或者專線網絡，IT企業對客戶數據的存儲，或者作為外包的數據存儲商對數據的責任等，每個環節對安全性的要求迥異，這將最終導致銀行賬戶在使用時，銀行無法確認非法使用的具體環節，銀行有可能拒絕承擔或分擔因此產生的銀行賬戶損失。

以掃碼支付或網絡信用卡為例，其使用前提，必然包含發卡行認可掃碼是其可接受的收單場景之一，而目前，掃碼收單不在大多數銀行認可的，和持卡人約定的收單場景之中。

留痕的危險

如果IT企業留痕了你綁定時的銀行賬戶、身份、手機以及密碼信息，那麼解綁本身有可能也是徒勞。

我們或者隱約地會覺得危險，並採取某種軟件服務和銀行卡解綁的措施，但這也可能是徒勞的。

如果IT企業留痕了你綁定時的銀行賬戶、身份、手機以及密碼信息，那麼解綁本身可能僅僅意味著IT企業不能公然接入和使用綁定賬戶；但IT企業數據由員工或者數據存儲公司的洩露，有可能造成解綁賬戶的非授權使用，除非IT企業能證明，客戶的解綁操作本身，就意味著相關IT企業徹底地，物理地、不可逆地刪除了客戶在綁定過程中所輸入的全部數據。但這些是強烈未知的。

新近攜程的客戶銀行卡數據洩露問題，折射了交易留痕在互聯網企業是一個普遍的做法。這種留痕可能是法定強制的，例如開卡行對其發行的信用卡的交易記錄；這種留痕也可能是未經客戶授權，甚至是通過軟件硬件的後門或漏洞惡意搶盜的。

根據新聞報導，攜程僅洩露了過去一個月在攜程有交易的部分客戶的信息，並且漏洞在2小時之內就得以彌補，但是銀行卡號以及CVV碼的洩露，仍然存在潛在風險。

有了銀行卡號和CVV碼，還有銀行卡有效期，這些洩露信息，信息盜取者可以無往而不利，比如在網吧下單，用無卡交易購買珠寶等奢侈品，並用物流快遞的方式收貨，電商對買家和快遞員對收貨人的真實身份驗證通常都十分粗疏，要偵破這樣的案件難度很大。

其實，從已發生的賬戶信息洩露看，攜程客戶賬戶信息洩露事件遠不是最糟糕的，甚至只能說是輕微的。在國際上，數據的產生、存儲和挖掘是高度細分外包的生態。在美國、韓國等發生的銀行卡信息洩露等嚴重事態，大多都是數據存儲機構出了問題，並通常以不了了之的方式落幕，甚至其他國家的央行要求瞭解數據洩露的細節時，都會遭遇敷衍和冷淡。

未來我們的銀行賬戶一定在云端，但現在輕易地將自己的強實名賬戶，和某種弱實名甚至匿名的軟件帳號共同放置在銀行體系之外，並且在軟件、電訊、數據等相關企業和銀行之間，並未就綁定賬戶的安全性及其使用過程中的權責關係有說明的話，潛在風險是一定的，你輕易放置在云端的銀行賬戶，將有可能被眾多來自云端的匿名黑手所操縱。

考慮到絕大多數人對賬戶、前置綁定、後置綁定等缺乏認真瞭解，如果你的微信賬戶、手機、銀行卡丟失時，騰訊、中國移動以及發卡銀行對你所丟失的，是否同樣認真在意和願意承擔損失？如果不是，為什麼我們可以輕易地將這些軟件服務、移動終端和銀行賬戶一鍋煮，並天真地以為，所有這些相關企業或金融機構，會對這鍋負責？以及這些企業是否具備充裕的資本金或準備來扛起責任？

麗珠集團重大信息提前走漏 中信研究員微信洩密 吾心上善若水

手機大洩密　三分鐘知道你行蹤

4樓提及

---

地少人多+網絡設計

英皇前歌手勒索案 律師樓爆洩密疑雲

鄰居電費大增　中電報警破門 大麻場偷電洩密

中門大開：洩密風雲

畢馬威前合夥人洩密被起訴

叛諜洩密－當大數據變大陰謀 無謂君

美前上將涉洩密 爆電腦病毒襲伊朗核設施

向《紐時》洩密　CIA前僱員罪成