“拇指”+“水泥”
携程事件只是冰山一角。
无卡无密码便可支付的信用卡支付已是普遍现象。不管你是在携程网,还是在同程网、艺龙网、芒果网等OTA网站,使用信用卡支付时同样只需要卡号、有效期和CVV码,并不需要密码和卡。
“无卡无密这种支付方式是合理存在的,是行业规定的。像酒店预订,以及携程和类似的商旅网站通常会使用。原则上来讲,商旅网站不应该保存CVV等信息,这是违规的,但银行方面不了解网站是不是这样做。”建行信用卡部办公室工作人员肖瑞娟这样告诉理财周报记者。而招行信用卡专员也肯定了这一说法,并称采用这种支付方式的渠道很多,目前无法提供一个完整的列表。国外交易网站大部分也是通过卡号、卡面有效期、背面后三位码就可以完成了。但有些网站需要万事达或VISA验证服务的话,会要求输入查询密码来验证。
但携程的错误在于违规保存客户敏感信息如CVV码等,这明显违背了央行规定。
根据央行《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。
对此,携程方面对理财周报记者表示:“我们将在交易完成后删除客户的CVV信息,不再保存。以前保存的那些CVV信息,正在予以删除。曾经存留的信用卡信息在传输和保存始终处于加密状态,任何未经授权的人员都无法取得这些资料。”
但为什么携程要违规保存客户信用卡的敏感信息呢?
“记录信息处于的思考层面会比较多,方便用户是其中之一,方便自己做一些调试等目的也是有的,但是我们也很难知道它具体还有其他什么目的。可以肯定携程不会自己盗刷用户的卡。按理来说,这些知名的与支付有关的网站是可信的,他们不会做危害用户的行为,只是有些规定并没有执行好,是他们工作上的失误。”国内最早提出网站安全云监测及云防御的北京知道创宇公司研究部总监余弦这样告诉理财周报记者。
此次携程漏洞就是因为开发人员开启了调试,留下了临时日志导致信息有外泄的可能性。开启调试功能对开发人员意味着什么?“因为程序开发中,如果开启了调试功能,则有利于程序员更精准地定位整个支付环节中的一些问题,可能会有利于他们的业务改进。不仅是开发新的产品,包括现有的支付环节,有可能在逻辑上有一些缺陷,比如BUG。调试有利于程序员或者开发人员进一步改进他们的工作。”余弦这样解释道。
这就涉及到研发部门与安全部门普遍存在的一个矛盾:开发为了满足业务可能会疏忽了安全线。而安全部门可能会要求开发人员执行一些安全标准,但当执行这些标准的时候又可能会影响开发进度。“它们是两个互相补充的部门,如果相互之间能配合好的话就不会出现携程事件了。”余弦向理财周报记者说道。
为此,有业内分析人士认为,携程此次用户信息泄露事件,可能是无线研发推进过快而变相导致的。曾经参观考察过携程的大众点评网技术部负责人也对携程产品研发更新速度表示钦佩。携程CEO梁建章在去年回归后的第一个重点就是推出“拇指+水泥”战略,将更多资源偏向移动互联网,所有最新的丰富旅游产品都优先在移动领域尝试。梁建章表示,无线客户端代表的移动互联网将是携程突围的一个关键点。在携程内部,无线业务亦被因此称为“二次创业”。
但余弦认为与市场竞争关系并不大,“这与开发人员的安全意识有关”,余表示。
“擦边球”基因
既然无卡无密码支付是行业常态,这个信用卡支付的“漏洞”早就有媒体曝光,但为什么携程的一个“漏洞”却引起如此大的关注和讨论?
“一是跟公民的财产有关系,用户很在意;二是信用卡的快捷支付很方便,跟银行卡不同,信用卡甚至都不用密码;三是这个事情有很多黑公关炒作的成分在里面,大肆渲染,不负责任地放大这件事。你有听说这几天有谁被盗刷了吗?”余弦这样反问记者,作为安全圈的一员,他直言黑客根本不会盗刷炒作得人尽皆知的事情。
作为在线旅游市场的龙头,携程的用户波及面极广。据悉,每天在携程订票的人数约80多万。
从2012年艺龙挑衅携程引起国内OTA价格战开始,携程就被动地处在各个小OTA公司的联合围剿中,先后投入这场战争的有艺龙、同程、去哪儿、芒果等。
恶战一年多后,OTA的格局并未改变。携程虽然折兵损将,但依然稳居老大地位,2013年的财报也颇为亮眼,根据财报显示:携程2013年净营业收入为54亿元人民币(约合8.9亿美元),相比2012年增长30%。而艺龙2013年净亏损1.68亿元创下历史新高。
除了真金白银的价格战,口水战也几乎没有停止。携程此次出现如此低级错误,更是难得的反击时机。
抛开行业竞争的大环境,携程本身携带“违规打擦边球”的基因也许早就为此次事件埋下了伏笔,看似偶然的事件也凸显了必然性。
携程正是从“违规”中诞生的。十年之前,从行业来说,跨地区买飞机票是违反规定的,但携程却敢于推出一个全国性的网络订票平台。“这个违规是商业规则不成熟的表现。为什么要改革,就是要改掉这些不合理,看上去合法,实际上它真的是违规的东西。所以携程十年前做了这样一个突破。”在携程信用卡支付漏洞的前一天,CEO范敏曾这样公开说道。
正是这样的“甜头”让范敏更加大胆。
据知情人士透露,2009年以前,携程服务器并不留存用户CVV码,用户每次购买机票,预订酒店都需要输入CVV码;但2009年,范敏为了简化操作流程,优化客户体验,拍板决定在携程服务器上留存CVV码。
如今看来,正是当时范敏的这个决定为今天的“漏洞”埋下了隐患。
而携程对本次事件最新的处理决定是:“我们将会按照监管部门的要求,尽快优化完善用户的支付流程。加强内部排查所有可能存在漏洞,邀请国内知名网络安全专家对携程系统进行会诊。同时,我们已经启动了CFCA和PCI的认证程序,以期更好地符合监管要求。”
问题是,此前携程曾有意向接入该认证程序,但是公司工作人员去考察之后发现,携程自身系统要整改难度太大,业务种类多且交叉多,如果按照该系统接入而整改会使架构都会有所变化,导致至今未引入CFCA和PCI认证标准。
“但是PCI也并非法律条款,只是支付卡大亨自己制定的规范,通过PCI不代表就能保存用户的敏感信息,还要根据国内的规定。”PCI-DSS在中国的合作伙伴北京航天亿展公司的工作人员这样告诉理财周报记者。
而接下来,携程面临的不仅是引入PCI-DSS标准的技术考验,更是如何重树安全支付信任、重拾消费者信心的问题。
