上个周末携程惹上了大事,被曝出安全支付日志漏洞,导致用户信用卡信息可能泄露。漏洞提交者乌云平台称,携程将用于处理用户支付的服 务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存 在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。这些信息包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码,6位Bin。
该漏洞说明通俗理解是说,携程将银行卡数据包保存在本地,同时支付日志存在安全漏洞,数据信息可以被陌生人下载。
这其中有两个疑点:携程为什么要保存用户银行卡信息?支付日志为什么会存在安全漏洞?
携程在回应中解释:技术开发人员之前为了排查系统疑问,留下了临时日志,因疏忽未及时删除。但是对于第一个疑问,携程并没有给出解释。
携程无法进行更多的解释,因为存储银行卡信息这件事携程已经默默地干了好多年了。此处必须公正地说,携程这么做并非处于歹意,相反是效仿国外信用卡支付方式简化支付流程,但是这一做法在国内必然有打擦边球之嫌,因为根据银联的规定,受理终端不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。
早在2010年,携程便与多家银行达成无卡支付服务(简称“CNP(Card Not Present)”交易)协议,根据协议,如果用户的该张信用卡是首次在携程网使用,则在支付生效前需要客户提供全部的信用卡授权所需信息。如果客户已在携程网使用过该张信用卡,且为了方便下次预订,同意携程网保留其信用卡卡号和有效期等信息,则在其下次预订时只需提供所存信用卡的卡号后4位,携程网就会根据其当初保留在系统中的信用卡授权信息,执行支付步骤;出于安全考虑,携程网会要求客户额外提供CVV码加以验证。
这种支付方式类似于亚马逊的“一键支付”,用户只需要首次使用的时候在亚马逊账户中绑定信用卡信息,往后并可以直接购买支付,而不需要输入密码。“一键支付”有其安全验证体系,其中重要的一种方式是,匹配收货地址,也就是说如果有人盗用你的信用卡信息进行购买,最终的货品还是寄给了你,否则他更改地址的同时必须重新提交信用卡信息。
回到携程,因为机票和度假等产品均为实名制产品,如出现信用卡在携程网被盗用的情况,是可以直接追溯到实际消费人的。
只需要信用卡卡号、有效期等信息,而不需要密码的支付方式在国外很常见,比如你购买Hulu的包月服务后,你甚至不需要每次确认支付,Hulu每月会自动从你的信用卡中扣款。
但是国内的信用卡使用环境和使用习惯与国外差异巨大,所以携程这种无卡支付方式被用户和媒体质疑已经不是新鲜事了,比如2010年《长江商报》报道的《携程网真邪门!没有密码也能用信用卡订机票》,2013年东南网报道的《携程网上买机票无需密码即可信用卡支付 网友质疑安全性》,2014年中国网报道的《携程网被疑储存用户信用卡信息 存在泄露风险》。携程对质疑的解释总是“符合国际惯例”,“客户信用卡信息的传输和保存始终处于加密状态”。
没错,按照携程的解释,虽然打着擦边球,过去几年也一直相安无事,直到上个周末。即使携程按照国际惯例使用无卡支付服务可以理解,但是由于自身漏洞将用户信息至于暴露状态就不可原谅了。据冯大辉小道消息爆料,此次漏洞是携程无线部门在手机APP产品调试过程中,保存了日志并在Web.config 开了目录遍历才出的状况。难道是太过于着急无线端的产品开发才如此不小心?
最后不得不吐槽一下携程的危机公关,连发3篇回应都遮遮掩掩,越抹越黑,让用户的担心和愤怒越积越多。明明白白地讲清楚怎么回事不行吗?
网友评论