安全问题会成为互联网时代的大问题,携程信用卡门又一次警醒世人。周末招商银行的服务电话被人打爆了:很多用户都在咨询自己在携程上做过交易是否需要冻结信用卡?很多人为了安全,选择了先换卡,再冻结信用卡。另有 ...
安全问题会成为互联网时代的大问题,携程信用卡门又一次警醒世人。
周末招商银行的服务电话被人打爆了:很多用户都在咨询自己在携程上做过交易是否需要冻结信用卡?很多人为了安全,选择了先换卡,再冻结信用卡。另有一些用户则在各社交圈子里称“永远不上携程了”。
3月22日晚,漏洞报告平台乌云网披露了携程网安全漏洞信息,漏洞发现者“猪猪侠”称由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意黑客读取。由于携程安全支付日志可以下载,导致大量用户银行卡信息泄露,其中包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等等。
为什么会出现这样的情况?携程相关负责人接受21世纪经济报道记者采访时表示:经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
某企业负责IT安全的人士向21世纪经济报道表示,利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为。
另外,携程可能违反了银联此前禁止记录CVC码的规定,有可能面临重罚。
是非国际标准
在携程上有信用卡支付经历的人都知道,初次使用时需提供信用卡卡种、卡号、有效期、CVV码(即信用卡验证码)等一系列完整信息,然后提交支付。但第二次在携程网使用这张信用卡时,只需提供卡号后四位,携程网就会完成这次支付操作。
而CVV几乎是核心信息:如果你把卡号、姓名以及有效期等全部报出,商家如何确认这一张卡确实就在用户手中呢?判断的标准就是能否报出CCV号码。如果通过某种途径截取了用户的姓名身份证、银行卡号、卡CVV码等信息,最严重的后果就是凭借这些全卡信息再复制一张信用卡,在网上或者实体商户消费。
事实上,关于留存CVV码,各个市场执行的标准并不一样,比如在美国,Target、Bestbuy、亚马逊等公司也要求在信用卡支付时留存CVV码,但在中国,银联要求信用卡支付不能留存CVV码。
安全一直是互联网时代的一个大问题。2006年为了应对支付安全, visa、mastercard、American Express、Discover Financial Services、JCB这全球五大国际卡组织一起创办了PCI安全标准委员会,并制定了一套保护持卡人数据的技术和操作的基本安全要求措施,即PCI DSS标准。
北京航天亿展科技有限公司是PCI DSS在中国的合作伙伴,该公司于2007年与VISA及建行等将该标准体系引入国内。
航天亿展的工作人员对记者表示,PCI DSS是对于支付网关的安全方面作出标准要求,包括安全管理、策略、过程、网络体系结果等等。据介绍,目前国外按照商户年交易量分为四个等级。第一等级是年交易量在600万笔以上的商户必须接入此系统;第二等级为年交易量100万至600万笔,第三等级为年交易量在100万至200万笔,第二等级及第三等级的商户可以请相关的人员到公司去做商务合规,合规商户会拿到相关报告;第四等级则是年交易量在2万笔,并不强制规定。
目前,南航、网银在线、支付宝、快钱及银联等多家公司及第三方支付公司已经接入该认证。航天亿展的工作人员告诉记者,比如支付宝引入该系统,就要求与其接入的大商户都要做PCI DSS认证,“我们的规范会每隔一段时间就更新。”
而在线旅游网站中,只有去哪儿(28.68, -2.44, -7.84%)已经引入该认证标准。上述工作人员告诉记者,此前携程曾有意向接入该系统,但是公司工作人员去考察之后发现,携程系统要整改难度太大,业务种类多且交叉多,如果按照该系统接入而整改会使架构都会有所变化。
“并非携程不想做,而是本身技术条件限制,这个在 PCI里也有规定的,可以申请特批。”而对于携程是否做了商务合规,上述工作人员表示并不清楚。
而携程方则回应记者称,该系统并不是强制性的系统,在携程看来,该系统与是否进行网上支付没有任何关联度,只是商业认证资质,并不是行业准入标准,并不能代表任何问题。“就像如果我是做食品的企业,我没有ISO9000的认证,就能说我不安全么?”
是系统性还是偶然性操作失误?
携程的问题究竟是系统性失误还是偶然操作失误?
携程IT系统完全自建,因为这是一个面向新型互联网业务的系统,十分复杂且超前,超出IBM(188.25, 1.58, 0.85%)、SAP(77.91, 0.53, 0.68%)、Oracle等传统IT厂商的经验。携程相关负责人解释说:携程IT系统中包括网站系统、在线交易系统、采购系统等子业务系统,从复杂性上来说,能与之比肩的唯有淘宝。
比淘宝更为复杂的是,这些系统需要将从航空公司、酒店集团、线下风景区等供应商那里采购来的产品即时打造成服务方案。先进就是生产力,上述相关负责人说,从某种意义说,携程IT系统是携程核心竞争力之一。
国内类似电商公司大都自建IT系统,如淘宝、京东(滚动资讯)、凡客等。少部分公司采用引进,比如艺龙(16.68, -0.20, -1.18%),就采用了大股东Expedia在国外的系统。经过在中国市场长时间的实践与磨合,才解决了水土不服的问题。上述负责人的意思很明显,携程出现的问题是偶然问题,非系统性故障。
携程呼叫中心模式加大了偶然风险出现的几率。一位不愿透露姓名的业内人士告诉21世纪经济报道记者:电话中客服人员会口头索要用户的CVV码,这种采用明码支付的方式,上万个坐席只要有一个想偷钱就会出现巨大的风险。
上述相关负责并不这样认为:携程输入卡号、密码、CVV码等是通过语音留言系统进行,而不是明码支付的方式,客服人员无法直接获得上述信息。即使用户拥有上述信息,盗刷信用卡判刑较严,违法成本很高。
上述业内人士透露:2009年以前,携程服务器并不留存用户CVV码,用户每次购买机票,预定酒店都需要输入CVV码;2009年,当时的携程CEO范敏为了简化操作流程,优化客户体验,拍板决定在携程服务器上留存CVV码。
上述消息人士说,携程现任CEO梁建章上任之后,一心发展携程移动互联网及互联网业务,对于呼叫中心运营中的这一细微变化并不知情。
监督方式防骗必读生意骗场亲历故事维权律师专家提醒诚信红榜失信黑榜工商公告税务公告法院公告官渡法院公告
个人信用企业信用政府信用网站信用理论研究政策研究技术研究市场研究信用评级国际评级机构资信调查财产保全担保商帐催收征信授信信用管理培训
华北地区山东山西内蒙古河北天津北京华东地区江苏浙江安徽上海华南地区广西海南福建广东华中地区江西湖南河南湖北东北地区吉林黑龙江辽宁西北地区青海宁夏甘肃新疆陕西西南地区西藏贵州云南四川重庆