乌云
事情暴发于3月22日,著名的网站漏洞曝光平台“乌云网”上,网名“猪猪侠”登出了“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”以及“携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)”的两条信息。
尤其是后面的漏洞类型属于“敏感信息泄露”,危害等级为“高漏洞”。且“厂商已经确认”。
事情的过程是,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
事情的解决办法正如本文开头所描述的那样,当晚携程很快就在其官方微博上回应称公司相关部门已经在第一时间展开技术排查,并在消息发布两个小时内进行了漏洞弥补工作。
但是,人们关注的是,根据中国人民银行发布的《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。
银联2008年出台的《银联卡收单机构账户信息安全管理标准》中也有称,银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素,并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。
“从目前披露的情况看,携程方面可能存在一些瑕疵”,银联风险管理专家王宇对此声称,我们一直在积极推动相关机构严格落实相关要求,商户及收单机构不能留存持卡人的敏感信息,同时也要采取多种措施提升交易环节的信息安全管理。
但这并不是携程在信息泄露上的全部危险。更大的漏洞,是流程上的不合理。
存储信息资格
“2010年的时候,这个方案已经在用了。”一位支付行业高管透露。如果只有信用卡卡号和有效期就刷卡成功,那么这个漏洞太大了。
“理论上来说第三方支付公司从银行拿接口必须提供实名校验,这就意味着必须提供个人的姓名、身份证号、卡号、CVV有效期才能完成这笔扣费。其实携程无权留取用户的卡等信息,因为这必须是银行或者是第三方有资质的机构。但携程是在走擦边球,一直在做这种留存。据我所知,如果你不给他提供这种接口,携程不会跟你合作。而且合作条件很苛刻。”改人士透露。
从乌云上流传出来的内容看,携程是对用户的银行卡、身份证等敏感信息做了留存的。
更重要的问题是,这显然已经不是个新问题了,携程却一直木有解决。
几天前记者接到过银率网一封邮件:
该邮件中提到,王先生的同事许女士近日要到深圳出差订酒店,她使用公司的固定电话拨打了携程的客服电话,由于订房需要预付房款,许女士就按照携程的电话语音提示输入了自己的信用卡卡号、信用卡有效期和后三位的CVV2支付密码,输入完成后,携程客服表示卡片有效,房间预定成功,会随后通过邮件发给她订单。
然而许女士的同事王先生在半个小时之后收到了招商银行发来的扣款短信,称他在携程预订的房款已扣除。正在开会的王先生一头雾水,自己根本没有通过携程订房,为何却被扣款了,难道是信用卡被盗刷了?王先生赶紧拨打了携程的电话询问这笔扣款的情况,被告知这笔扣款是同事许女士预订的深圳酒店。
事件截止到这里似乎只是携程扣款不当的问题,但是携程扣款成功的这张卡是王先生很久以前办过的一张招商银行信用卡,有效期马上就要到了,王先生在上个月已经申请了换新卡,目前这张新卡已经激活使用,旧卡早就无效了,而且旧卡和新卡后三位的支付密码并不相同,为什么携程依然能够通过这张卡扣款成功了?
对此,招商银行方面表示(银率网资料中所引用,并非经济观察网采访),对于携程这样有品牌的网站,银行在收到支付请求时通常审核的比较松,可能在核对相关信息时出现了失误,但是到底是哪个环节的问题银行表示还需要进一步调查。
银率网分析师华明认为,在这件张冠李戴的扣款事件中,携程和银行都存在着审核漏洞:携程方面的问题是,虽然是同一个电话做的电话预定,但是许女士明明输入了自己的卡号和信息,携程却直接无视,而将款项扣到了王先生头上。
银行方面的问题是,明明已经过期的信用卡,后三位的支付密码也不相同,为何却让携程通过了扣款申请,在如今信用卡盗刷案件频发的情况下,发卡银行不仅没有对于信用卡支付请求进行更严格的把关,反倒是对大型网站的支付“睁一只眼闭一只眼”,让信息在并不正确的情况下过了关,银行无疑需要好好检讨一下了。
对于此事,汤澜用无数“巧合”来解释:
之前许女士用同事王先生的信用卡定了酒店并作了信用卡与手机的绑定。而第二次许女士致电携程网时并非如原文所说的与座机绑定,许女士在自己的账户上定酒店,而该账号上有用王先生信用卡消费的消费记录,携程网便要求许女士输入验证,许女士当时并未验证通过。但由于携程网员工的操作失误,使许女士重新输入验证信息的操作变成了信用卡(验证信息)的修改。而更巧的是,许女士信用卡的过期日期与同事王先生完全一致。于是种种巧合便导致同事王先生本已过期的信用卡被重新激活,并完成了酒店的预定。
汤澜表示,携程在此次事件中有不少失误。比如许女士在验证时,携程工作人员将此操作当成了修改,并由于许女士账号有王先生信用卡消费记录以及两人信用卡有效期完全一致等种种巧合导致了此次事件的发生。携程网确实接到了许女士的投诉,我们也向她做了解释并得到理解。
汤澜还谈到具体改进措施。一是要在在信息确认的界面上讲“修改”选项移除,从而避免类似的“误操作”。
经济观察网记者查询了相关网站,PCI DSS(Payment Card Industry Data Security Standards)即资料安全作业标准。
这是由信用卡组织(American Express, DiscoverFinancial Services, JCB International, MasterCard Worldwide, and Visa, Inc。)之PCI安全标准委员会(Payment Card IndustrySecurity Standards Council)所制定,为储存、处理、或传输信用卡持卡人账户或交易资讯之信用卡相关业务、相关机构必须遵守的安全规范。
汤澜则坦承,携程已经申请,目前确实没有通过该认证。但汤澜称在国外好像已经通过。
是的,在该认证网站上,并没有已经从事机票、酒店业务15年的携程,却有刚刚成立4年的小米。
