受漏洞门事件影响,携程股价昨日盘前一度跌近10%。
“携程对用户信息安全没诚意,趁早换。”一位紧急更换了信用卡的用户表示。一些公司也开始停止使用携程进行出差预订。
“携程未通过PCI DSS认证,不安全。”一些专业技术人员表示。
携程“漏洞门”到底是如何发生的?携程犯了哪些错?携程是否违法违规了?
1携程违法违规保存了用户信用卡CVV码?
携程未主动保存用户CVV码,相关信息的加密强度足以抵御民间的解密尝试。
3月22日18时许,乌云漏洞平台发布消息称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
乌云报告称,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),有可能被黑客所读取。
我国《银联卡收单机构账户信息安全管理标准》规定,“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”
携程表示,已在22日当天进行技术排查,并在报告发布后的两小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
对此,国内某大型在线旅游服务商技术工程师告诉新京报记者,各个互联网公司在处理用户的交易时,都需要用户提交个人支付信息,但需要对信息加密以保证安全。存有这些信息的交易日志,会短期停留于公司系统中,在处理完相关交易后,系统会删除这些信息。如果开发人员需要调取测试等,他们看到的数据也是加密过的,并不是直接看到用户姓名、卡号、密码等。
中国黑客教父、COG信息安全组织创建人龚蔚对新京报记者表示,从漏洞报告来看,携程技术人员的疏忽是毋庸置疑的,但携程并非主动保存银行卡号等用户支付数据。
龚蔚表示,携程此次的漏洞中,信用卡号、信用卡有效期、信用卡CVV三位验证码是经过AES加密后存储在安全日志中的。在加密密钥没有对外泄露的情况下,AES的加密强度足以抵御来自民间的解密尝试。
MediaV CTO,原谷歌技术总监胡宁也认为,携程犯的错在于,敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这些都是常识。
2携程未经过PCI DSS认证,所以不安全?
即使通过PCI DSS认证也做不到100%的绝对安全,“但至少体现了一种态度”。
在漏洞门之后,“PCI DSS”认证成为舆论热词,众多网友和媒体质疑携程,并没有经过“PCI DSS”认证,意味着携程不安全。
据安全审核机构atsec中国总经理刘岩介绍,“PCI DSS”,中文全称为支付卡产业数据安全标准。它是由PCI安全标准委员会的创始成员(visa、mastercard等五大国际卡组织)制定并维护的一套保护持卡人数据的技术和操作的基本安全要求措施。通过审核并持续维护PCI DSS标准的合规,可以有效降低网站发生数据泄露的风险,保护支付数据的存储和传输安全。据悉,去哪儿网是目前国内唯一一家通过该认证的旅游预订平台。
但也有人质疑PCI的安全性,比如,国外两家零售商Target和Neiman Marcus都是PCI DSS标准的合规企业,但都遭遇过黑客入侵,导致信息泄露。
对此,一位专业技术人员表示,即使通过PCI DSS认证也做不到100%的绝对安全,“但至少体现了一种态度”。
3用户是否需要更换在携程上用过的卡?
不少意见认为,用户应尽快换卡。已有部分公司要求停用携程进行出差预订。
在漏洞门发生之后,虽然携程称只有93名用户存在潜在风险,同时也承诺赔付,但众多网友表示准备换卡或者已经换卡。
有网友昨日表示,招商银行的电话都被打爆了,银行客服在听到“携程”后,做出了“非常熟练而流利的回应”。
已经紧急换卡的携程用户高女士表示,这种低级错误说明携程没有或者内控机制无效,或者说携程对于用户的个人信息安全完全没有诚意,“早晚还得出事儿,不如趁早换卡同时"换掉"携程。”
目前不少业内相关人士的意见认为,携程用户应尽快换卡。
新京报记者昨日接到爆料,北京汉唐科讯环保科技公司、万国教育等公司发布内部邮件,要求停用携程进行出差预订。昨日,汉唐科讯工作人员向新京报记者回应,称停用是属实的。万国教育则未回应。
4如果信用卡被盗刷用户能否获赔?
如果用户信息泄露,企业负有赔偿责任。但是损失需要用户出具证明。
携程表示,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
对此,中国电子商务研究中心特约研究员、北京惠诚律师事务所律师赵占领表示,如果用户信息泄露,按照现行法律,企业负有赔偿责任。公司与用户之间具备合同关系,有保障用户信息安全的义务。如果没尽到义务,需要赔偿用户损失。但是损失需要用户出具证明,这一点不太容易做到。
互联网法律专家胡钢表示,我国现行的《侵权责任法》,2012年全国人大通过的《加强网络信息保护的决定》以及今年“3·15”刚刚开始施行的《消费者权益保护法(修订案)》等,均对网络用户个人敏感信息的保护做出了规定。对此,网络服务提供商必须采取充足的技术措施对用户信息予以保护,包括身份证号码、支付信息等。
胡钢表示,出售、非法提供、非法窃取个人信息属于犯罪行为。如果携程并不是故意存储,并不属于上述行为,也应该承担未能充分保护用户信息的民事责任。
5乌云的“白帽子黑客”是否会利用漏洞?
发报告是黑客并没有商业目的,如果想利用漏洞,不会把报告发到乌云上面。
“漏洞门”事件中,漏洞发布者、乌云平台上的牛人“猪猪侠”以及乌云漏洞平台也引发了舆论关注。
据了解,乌云是一个厂商和安全研究者之间的安全问题反馈平台,此前多次发布国内企业信息系统的技术漏洞,包括CSDN、天涯、当当、京东商城、淘宝、支付宝等。
龚蔚表示,乌云平台有一套发布机制,会先通知相关的厂商认领漏洞,也算是跟厂商有一种良性互动。发报告是黑客需要自我价值认可,并不是商业目的,如果想利用漏洞,也不会把报告发到乌云上面。
赵占领表示,乌云发布报告的技术人员,如果没有破坏服务器或入侵服务器以盗取、谋利,法律并没有明确禁止这样的行为。
猪猪侠被称为乌云大牛,共发表过125个漏洞。昨日,他又抛出“腾讯QQ某控件设计缺陷导致可远程登录任意人的QQ账号”的漏洞报告。
6国内厂商信息安全保护水平普遍较低?
国内大的厂商安全性都很高,但也有较小的厂商让人担心。
龚蔚表示,国内大的厂商安全性都很高,但也有较小的厂商让人担心。现在应该做的,是加强对已有的信息安全标准的落实,这方面的监管还是欠缺,不够严格。
中央财经大学中国银行(601988,股吧)业研究中心主任郭田勇对新京报记者表示,我国的金融、支付机构总体比较健康。郭田勇表示,不仅是互联网公司,线下像买房、酒店开房等交易,此前也多次暴露出泄露用户敏感信息的问题,这些问题属于内部管理或内控的问题。他认为,无论线上线下,国家应该对所有涉及公众信息的企业严格管理,或出台专门针对保护消费者个人信息的法律。