📖 ZKIZ Archives

違規在先，疏忽在後，攜程漏洞引發公眾巨大擔憂，快捷支付隱患再次顯露◎ 財新記者 王曉慶 覃敏 文wangxiaoqing.blog.caixin.com｜qinmin.blog.caixin.com 攜程的漏洞，觸發了一場關於支付安全的全民恐慌。

3月22日，週六晚上21 點多，北京一家傳媒公司的負責人給行政主管撥了一個電話，告訴她馬上掛失為出差人員訂航班酒店的招行信用卡。

當 日 晚 間， 攜 程 旅 行 網（NASDAQ：CTRP）被曝支付日誌存在漏洞，用戶銀行卡信息可被黑客任意讀取。攜程方面承認漏洞存在。

作為中國老牌旅行服務公司，攜程為超過1.4億會員提供酒店預訂、機票預訂、旅遊度假、商旅管理等服務，是諸多中國公司機構訂酒店機票的常用平台，與建行、招商、廣發等銀行發行有聯名信用卡。

攜程此次被詬病的不僅是漏洞被捕獲，更重要的是洩露的用戶信息中包括了銀行卡CVV 碼這類被明令禁止不得儲存的數據信息。更令人擔心的是，類似做法在業內不是孤例，為促進用戶便捷消費，或者為了加快產品開發流程，商戶往往忽略對用戶信息安全的關照。

在互聯網支付安全問題被熱議的當下，攜程漏洞門事件無疑雪上添霜。

「黑色週末」

3月22日18時 許， 烏 雲 漏 洞 平 台（WooYun）公佈信息： 「由於攜程用於處理用戶支付的安全支付服務器接口存在調試功能，將用戶支付的記錄用文本保存了下來。同時因為保存支付日誌的服務器未做嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意駭客讀取」 。

所謂遍歷通常是指沿著某條搜索路線，依次對樹中每個結點均做一次且僅做一次訪問。這一被歸類為 「敏感信息洩露」的漏洞被指可能導致攜程用戶持卡人姓名、身份證、銀行卡號、卡CVV 碼、六位卡 Bin 等信息外洩。黑客若獲得這些信息，足以進行網購盜 刷。攜程方面隨即於當晚22時左右發出聲明，稱已經在消息發佈兩個小時內修復問題， 「尚未發現因相關問題導致客戶信息洩露及造成損失的情況發生」 。

此次主動披露攜程漏洞問題的烏雲漏洞平台，是一個位於廠商和安全研究者之間的安全問題反饋平台。攜程方面稱，漏洞的敞開窗口是3月21日和22日，被烏雲發現時是22日，因此這兩日在攜程網交易並使用信用卡支付的消費者可能存在風險。

據多名互聯網企業安全總監對財新記者的說法，烏雲之前曝過很多大公司的漏洞，通常都是先通報給廠家，修復後才對外公佈漏洞信息。但此次烏雲先對外曝出攜程漏洞，攜程再緊急 「打熱補」 ，他們猜測，要麼是攜程內部出了問題，要麼是攜程「長期不搭理烏雲的提醒」 。翌日，攜程方面經過徹夜排查，稱僅 「漏洞發現者」對攜程的日誌文件做了測試下載，內容含有極少量加密卡號信息，共涉及93名存在潛在風險的攜程用戶。 「公司客服當天17時多就全部聯繫到人了，告訴他們發生了什麼事情，幫助他們辦理換卡事宜。 」一名攜程經理對財新記者透露，93名消費者都沒有說什麼， 「我們給這些用戶提供了500元禮品卡，還承諾如果用戶真的出現盜刷情況，我們保證賠償」 。

第一階段緊急處置告一段落，接下來的疑問是攜程的漏洞是如何產生的，其網絡安全體系、工作流程有何不足。

攜程官方公告中寥寥數語介紹： 「經查，技術開發人員之前是為了排查系統疑問，留下了臨時日誌，因疏忽未及時刪除，目前，這些信息已被全部刪除。 」曾在上海多家知名網站擔任技術總監的周喬波從技術層面分析，攜程此次問題是由雙重因素共同導致的。首先是技術人員在排錯過程中打開了 Debug 開關，導致頁面操作信息被寫入安全支付日誌；然後是安全支付日誌文件的目錄沒有做好安全基準配置，權限放開，沒有及時關閉接口，然後沒有及時刪除臨時目錄，導致外界通過互聯網可以瀏覽、遍歷和下載日誌。

「不是每個網站排錯都會用這種方式，這要看各公司對安全性的重視程度。攜程這方面做的不好，但一定不是最差的。 」周喬波說，此前的漏洞影響最多的是網站信息安全、註冊用戶個人資料，現在支付業務發展後，用戶的銀行卡信息更直接關係到用戶財產安全，但一些公司不一定對此有足夠的重視。

在資深技術人員眼裡，攜程犯的是「低級錯誤」 ， 「像寫日誌這樣的工作，在公司裡一般是剛畢業的小朋友或者實習生幹的，如果沒有嚴格的審核機制、代碼的規範，出這樣的錯誤就不出意料。 」一位資深安全技術人員說。

快捷支付的隱患

讓外界對攜程質疑加碼的是其違規存儲了用戶的銀行卡CVV碼信息。

CVV 即信用卡背後的三位驗證碼，在多數「無卡支付」環節，只需提供卡號及此三位驗證碼就可完成支付。

《銀聯卡收單機構賬戶信息安全管理標準》明確規定，各收單機構系統只能存儲用於交易清分、差錯處理所必需的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗證碼（CVV） 、個人標識代碼（PIN）及卡片有效期。這意味著這些信息原本就不該出現在攜程的服務器上。

攜程的解釋是，攜程是將用戶未扣款成功的 CVV 信息暫存七天，目的是為了協助用戶便捷支付。 「漏洞門」之後，攜程表示，將對支付流程進行整改，取消對用戶信用卡 CVV 信息的詢問和登記，不再保留任何用戶的 CVV 記錄。

在攜程無主觀使用用戶銀行卡信息牟利的假設下，為了用戶的支付便捷，似乎是攜程保存用戶 CVV 碼的唯一解釋。事實上，在各個互聯網企業對用戶的爭奪中，提供快速便捷的支付體驗一直是重要籌碼。

登錄進入攜程網的支付界面，用戶可以選擇三種支付方式：信用卡、第三方支付、網上銀行。如果用戶選擇後兩種支付方式，下一步是直接跳轉進入銀行或者支付平台的頁面進行操作；如果選擇信用卡支付，則是停留在攜程自有的頁面進行輸入，用戶的信用卡信息就這樣被攜程錄入，保留在其服務器上。

周喬波介紹，國內很多網站利用信用卡協議，通過這樣的方式攔截客戶資料，不過通常都是將信息記錄在數據庫中，並非採用日誌形式進行存儲。攜程上述漏洞暴露的日誌存儲行為並不是為了攔截客戶數據，只是湊巧暴露了攜程擁有客戶CVV碼等信息的事實。

攜程網與國內主要銀行都簽署了信用卡無卡支付協議。用戶同意攜程網保留其信用卡卡號和有效期等信息，則在其下次預訂時只需提供所存信用卡的卡號後四位，以及信用卡CVV 碼或有效期，攜程網就會根據其當初保留在系統中的信用卡授權信息，執行支付步驟。

也就是說，無論是誰，只要掌握了用戶的信用卡號、有效期、CVV 碼信息，就可以成功刷信用卡消費。

近幾年，在線旅遊市場競爭激烈，如何讓用戶獲得更便捷的消費體驗，是攜程、去哪兒、同程等比拚的焦點。多家在線旅遊服務商都會提供 「常用卡服務」的選項，初衷是為了方便客戶交易，比如在進行艙位變更時，不需要每次更改信息都要求用戶重複輸入CVV碼。

隨著移動互聯網興起，用戶包括身份、銀行財產等相關數據和互聯網應用綁定越來越緊密，洩露風險和威脅也越來越大。而商家為了提高用戶操作和消費便利性，或者為了加快產品開發流程，對安全問題往往心存僥倖。

據中國電子商務研究中心發佈的《2013年中國網民信息安全狀況研究報告》顯示，74.1% 的網民在過去半年時間內遇到過信息安全問題，總人數達4.38億，全國因信息安全事件而造成的個人經濟損失達到了196.3億元；因網上購物遇到過安全問題的網民達2010.6萬人，其中因網購遭遇個人信息洩露和賬號密碼被盜分別為42.9%、23.8%；電腦網絡支付時，資金被盜、被騙和賬號密碼被盜的比例達32.1%。

奇虎360公司安全專家安揚介紹，在支付安全方面，國際上有一項 PCI- DSS（Payment Card Industry-data storage security）標準，嚴格規定了網站不能保存哪些用戶數據，以及規定網站必須採用加密數據傳輸等安全措施。

在 PCI-DSS 規定的基本安全措施中，商戶可以保存的信息是信用卡號、持卡人姓名、信用卡失效日、業務代碼，禁止保存的包括 CVV 碼、PIN、完整磁條信息（針對 POS機刷卡） 。

「PCI-DSS」中文全稱為支付卡產業數據安全標準，是由 PCI 安全標準委員會的創始成員（Visa、Mastercard 等五大國際卡組織）制定並維護的一套保護持卡人數據的技術和操作基本安全要求，以有效降低網站發生數據洩露的風險，保護支付數據的存儲和傳輸安全。

國內目前通過 PCI-DSS 認證的企業包括網銀在線、支付寶、快錢支付、盛付通、工商銀行、民生銀行、去哪兒等。

但也有人質疑 PCI 的安全性，比如，國外兩家零售商 Target 和 Neiman Marcus都是PCI-DSS標準的合規企業，但都遭遇過黑客入侵，導致信息洩露。

「出了事情之後，我們也在準備申請 PCI 系統認證。 」攜程內部的一位中層人士告訴財新記者，攜程已啟動 PCI 認證程序，以期更符合國內外安全規範， 「這需要耗一定的成本和時間，去哪兒當初申請材料就準備了三個月。但這次事件給了我們教訓，就是成本再大，這事也得做」 。

「白帽子」 查漏

近幾年，用戶信息洩露事件層出不窮。

2012年的 CSDN 洩密事件曾引起譁然；去年10月，烏雲（WooYun）漏洞平台發佈報告稱，如家、漢庭等大批酒店的客戶開房記錄因被第三方存儲和系統漏洞而洩露。報告中，烏雲曝光了網上下載酒店客戶信息的過程，成功下載的客戶信息中完整記錄了入住酒店旅客的身份證、入住時間、入住的房間號碼等隱私信息。

此次披露攜程漏洞問題的依然是烏雲漏洞平台，這是一個位於廠商和 「白帽子」 （指一些善意公佈公共網絡安全漏洞的 IT 技術人員）之間的安全問題 反饋平台，曾報告過騰訊、阿里巴巴、噹噹、京東商城、360等多個互聯網企業的安全漏洞。

烏雲漏洞平台成立的動因，是業內的 「白帽子」在發現網站漏洞後，缺乏渠道及時反饋給相應的網站。幾位知名「白帽子」成立了烏雲漏洞平台，為計 算機廠商和安全研究者提供技術上的各種參考以及漏洞bug的發現和修復渠道。

騰訊公司在其2012年度「漏洞獎勵計劃」工作報告中指出，2012年騰訊 產品發現安全漏洞2288個，其中來自騰訊安全應急響應中心的有1910個；通過非官方渠道報告漏洞378個，主要來自烏雲平台，提供了302個安全漏洞。

「傳統企業做互聯網往往漠視安全問題，攜程此次事件暴露了其安全意識淡薄。 」這位資深安全技術人員說，事實上，國內金融系統的漏洞也很多，尤其是銀行網絡，只是因為黑客對政府有所忌憚，所以並沒有暴露過太大的問題，但涉及到支付的相關合作公司，如果在安全性上有漏洞，就很容易成為攻擊目標。

他還介紹，重視安全的互聯網公司一般都有專門的漏洞組做漏洞挖掘，也會鼓勵同行提漏洞，甚至會付費。業內的規則是： 「你發現漏洞，告訴我，我會給你錢，但是在我修復前不能公開」 。

除了民間的糾錯和企業自查，來自監管的督促也是互聯網安全體系建立的重要力量。互聯網與其他各行各業日益滲透融合化的趨勢，使得現有互聯網管理體系暴露出諸多弊端。此前， 「九龍治水」的分散管理是信息安全領域監管薄弱的重要原因。工信部、公安部、國家保密局、國家密碼管理局、銀監會、證監會等部門都有規章文件涉及個人信息保護。最近，國家成立了網絡安全與信息化工作小組，集合各個部門的力量，符合互聯網監管的趨勢。

2012年12月28日，全國人民代表大會常務委員會通過了關於加強網絡信息保護的決定，從法律層面為網絡信息保護提供了依據，但這是涉及個人信息安全的普適性原則。來自工信部電信研究院的專家向財新記者介紹，不同業務類型的互聯網網絡和業務應用系統，對它們的具體網絡安全要求會有不同，不同行業的監管部門包括央行等都制定了相應的標準和具體的操作規範， 「攜程在一定程度上是銀聯服務的延伸渠道，銀聯對渠道也有自己的管理規範，攜程理論上應該受到多類多級規範制約，但是在實際操作中糾察缺位」 。

發現問題之後的處罰力度也有待加強。根據相關規定，用戶個人信息發生或者可能發生洩漏、損毀、丟失的，應當立即採取補救措施；造成或者可能造成嚴重後果的，應當立即向準予其許可或備案的電信管理機構備案。電信管理機構依據職權要求企業限期整改，並可處於1萬元以上、3萬元以下罰款。

「這個處罰並不是特別有力。 」上述專家認為，除了加大處罰力度，還可以對發現問題的企業予以公示， 「聲譽對 於企業來說格外重要，公示的影響力會對企業形成一定的威懾作用」 。

在攜程內部看來，此次漏洞門事件對攜程的影響並非經濟損失，損失更大的還是聲譽。漏洞事件曝光後首個交易日，攜程股價盤前一度跌近10%。