携程网支付漏洞大起底

  互联网已深入到社会的各个角落。改变着人们的生活、学习、工作方式、消费习惯等。互联网,让人们足不出户,便可知晓天下事,买到想要的东西,看到想要见到的人,可满足不同人群的不同需求。但是,却又不得不面对这样一个事实:互联网在给人们生活、工作带来便利的同时,也给用户个人信息的安全问题带来了隐患。

  临时日志未删 携程网现“支付漏洞”

  今年3月22日,“乌云”网站漏洞报告平台发布公告,称在线票务服务公司携程网存在支付漏洞,在携程网用信用卡支付,顾客姓名、身份证信息 、银行卡卡号、CVV2码等信息都会被保存在携程网本地服务器,且有可能被泄露,给客户信用卡盗刷埋下隐患。(乌云是一个位于厂商和安全研究者之间的安全问题反馈平台,此前多次发布国内企业信息系统的技术漏洞,推动企业进行漏洞修复。)

  对此,携程方面表示,在得知该消息后,公司即展开了技术排查并在消息发布两个小时内修复问题。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。

  据了解,各个互联网公司在处理用户的交易时,都需要用户提交个人支付信息,但需要对信息加密以保证安全。存有这些信息的交易日志,会短期停留于公司系统中,在处理完相关交易后,系统会删除这些信息。如果开发人员需要调取测试等,他们看到的数据也是加密过的,并不是直接看到用户姓名、卡号、密码等。

  无独有偶,类似携程的泄密事件绝非个例。2012年CSDN事件在前,两年后携程事件历史再现。只不过CSDN被泄密的部分是历史数据库,不是金融数据;此次携程泄密的是正在支付的数据,是用户的银行卡信息。所以,携程泄密的后果可能比CSDN泄密事件的后果要严重。

  疑信息泄露 信用卡被盗刷

  由于个人信息遭泄露,记者的朋友赵先生险些就被骗子骗走了不少钱。在愤愤不满之余,赵先生更气愤的是泄露他个人信息的公司。

  那么,到底是谁泄露了他的个人信息?

  今年6月份,赵先生通过网络平台购买了东方航空(600115,股吧)由昆明飞往上海的机票。就在航班起飞前一天,赵先生便收到了以“东航”名义发送的短信,称其将要乘坐的航班由于飞机的原因,导致飞机不能正常起飞,并要求赵先生办理退票或者改签。

  短信内容中,赵先生的所有信息全都准确无误,包括旅客的姓名、乘机日期、航班号、出发地、目的地、手机号,并且在短信的最后附上一个办理客服的“400”开头的电话,以及落款“东航”。

  由于短信上所有的信息都准确无误,赵先生差点信以为真。但是经常出差的赵先生并没有立即拨打短信上的电话,而是拨打了东航的客服热线,工作人员告诉赵先生,航班正常起飞。

  虽然是乌龙事件一桩,但是赵先生仍气愤的在朋友圈里发了个心情:“嚓,神莫情况?”并配上了短信内容,以表气愤。

  让赵先生感到意外的是,信息在朋友圈内一经发出才知道,原来自己的朋友张小姐身上也真真切切发生过这类事情,并且信用卡被盗刷了5000元。

  记者联系上张小姐后,她告诉记者,她老公的信用卡信息疑遭携程网泄露,被盗刷5000元。然而,当她选择报警却被拒,因为当地警方根据属地管辖原则要求报警人向户口所在派出所报警。

  同时,张小姐在第一时间也告知了携程网,携程方面给的回复是先让张小姐等消息。然而,就在张小姐犹豫要不要再次致电携程网,并要求其在24小时内必须给到回复,否则将报警、向消协投诉、向媒体投诉之时,携程网已经将盗用人购买的机票按退票处理了。

  张小姐说:“因为,盗用她老公信用卡的人,在携程上购买了两张机票,并且留下了自己的姓名、身份证号码以及联系电话。”最后,张小姐选择了息事宁人,并没有再给携程打电话,损失了1000多元的退票费。

  但是,对于客户的账户被盗刷,是否因为系统漏洞?钱江晚报记者曾联系了携程旅行网。携程旅行网杭州分公司市场传播部的徐经理表示,至于如何被盗刷,经过信息安全部的确认,是因为密码泄露导致,并不是因为系统漏洞。

  他介绍说,要盗取账户里的资金,对方需要知道登录密码以及支付密码,很可能不法分子通过一定手段掌握了账户的两个密码。

  那如果账户发生盗刷,携程网是否有相应机制可以制止呢?

  徐经理表示,对于盗刷行为,网站其实设有预警机制。一旦某个账户出现IP地址异常、购买大量可变现产品或者出现与客户消费习惯不一致的情况,后台就会有客服人员联系客户进行提醒。

  “有了这个预警机制,如果确认账户确实被盗刷,我们就可以及时终止交易挽回损失。”徐经理承认,这套预警机制确实没有发挥作用。

  携程未经过PCIDSS认证 所以不安全?

  在漏洞门之后,“PCIDSS”认证成为舆论热词,众多网友和媒体质疑携程,并没有经过“PCIDSS”认证,意味着携程不安全。

  据安全审核机构atsec中国总经理刘岩介绍,“PCIDSS”,中文全称为支付卡产业数据安全标准。它是由PCI安全标准委员会的创始成员(visa、mastercard等五大国际卡组织)制定并维护的一套保护持卡人数据的技术和操作的基本安全要求措施。通过审核并持续维护PCIDSS标准的合规,可以有效降低网站发生数据泄露的风险,保护支付数据的存储和传输安全。据悉,去哪儿网是目前国内唯一一家通过该认证的旅游预订平台。

  但也有人质疑PCI的安全性,比如,国外两家零售商Target和NeimanMarcus都是PCIDSS标准的合规企业,但都遭遇过黑客入侵,导致信息泄露。

  对此,一位专业技术人员表示,即使通过PCIDSS认证也做不到100%的绝对安全,“但至少体现了一种态度”。

  信用卡被盗刷用户能否获赔?

  如果用户信息泄露,企业负有赔偿责任。但是损失需要用户出具证明。因此武汉盈科律师事务所的彭功平律师提醒道,一旦出现盗刷情况,用户要自己保存证据并及时与网络服务商联系。

  彭功平称,我国现行的《侵权责任法》,2012年全国人大通过的《加强网络信息保护的决定》以及今年“3?15”刚刚开始施行的《消费者权益保护法(修订案)》等,均对网络用户个人敏感信息的保护做出了规定。对此,网络服务提供商必须采取充足的技术措施对用户信息予以保护,包括身份证号码、支付信息等。出售、非法提供、非法窃取个人信息属于犯罪行为。如果携程并不是故意存储,并不属于上述行为,也应该承担未能充分保护用户信息的民事责任。

  如何才能有效保护个人信息?

  彭功平律师告诉记者,目前我国关于个人网络信息保护的法律法规并不完善,网民网上交易时应当谨慎小心。并给出了三点建议。

  首先,不要将自己的全部信息填入用户账号设置中,即使大的电子邮件网站也要警惕并养成对重要数据和文件备份的好习惯,防患于未然。不浏览不健康的网站,也不要为跟随潮流去“裸奔”,以免让计算机遭受木马入侵和染上病毒,致使个人信息丢失和泄露。

  其次,在购物上,要学会如何区分虚假信息,例如网上大肆叫卖却没有实物图和详细的物品信息的一定要谨慎,选择商业信誉好、经营规模大、商业信用度高、网民普遍评价优的卖家,这样会把交易风险降到最低。

  最后就是保持“谨慎原则”和“保密原则”。在汇款和交易之前,谨慎是必要的,不能为了贪小便宜而失大利;对自己的银行帐号、密码等注意保密。还有一点值得提醒的是,密码应妥善保管,并经常更改。避免使用公共场所的电脑、避免共享个人笔记本电脑中的数据、及时升级杀毒软件将大大减少泄密的机率。

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:OLE 0Day漏洞病毒通杀主流Windows