攜程旅行網(wǎng)上周末發(fā)生的信用卡信息泄露事件，或為所有正在向無線市場大舉沖刺的企業(yè)敲響了警鐘。

3月22日，漏洞報告平臺烏云網(wǎng)連續(xù)披露了兩個攜程網(wǎng)安全漏洞，漏洞發(fā)現(xiàn)者稱由于攜程開啟了用戶支付服務借口的調(diào)試功能，導致攜程安全支付日志可被任意讀取，日志可以泄露包括持卡人姓名、身份證、銀行卡類別、銀行卡號、CVV碼等信息。

攜程此前發(fā)布的官方解釋稱，安全漏洞是由于技術(shù)開發(fā)人員為了排查系統(tǒng)疑問而留下了臨時日志，并由于疏忽未及時刪除。

另據(jù)知情人士透露，這次攜程的安全漏洞，可能并不是在Web網(wǎng)頁上的漏洞導致，而是無線部門在手機APP產(chǎn)品調(diào)試過程中，保存了日志并在Web.config 開了目錄遍歷才出的狀況。一旦掌握了目錄遍歷，攻擊者能夠超過服務器的根目錄，從而訪問到文件系統(tǒng)的其他部分，訪問受限制文件或資源，或者采取更危險行為。

騰訊科技昨日就此咨詢攜程官方，但截至發(fā)稿還沒有收到相應回復。烏云網(wǎng)聯(lián)合創(chuàng)始人孟德則告訴騰訊科技，漏洞雖然官方答復已經(jīng)修復，但漏洞仍處于細節(jié)保密期（45天），等到漏洞細節(jié)公開后才能看到當時的具體情況。

業(yè)內(nèi)分析人士認為，攜程此次用戶信息泄露事件，可能是無線研發(fā)推進過快而變相導致的。攜程CEO梁建章在去年回歸后的第一個重點就是推出“拇指+水泥”戰(zhàn)略，將更多資源偏向移動互聯(lián)網(wǎng)，所有最新的豐富旅游產(chǎn)品都優(yōu)先在移動領(lǐng)域嘗試。梁建章表示，無線客戶端代表的移動互聯(lián)網(wǎng)將是攜程突圍的一個關(guān)鍵點。在攜程內(nèi)部，無線業(yè)務亦被因此稱為“二次創(chuàng)業(yè)”。

在移動互聯(lián)網(wǎng)時代，企業(yè)對速度和效率的追求相比PC時代變本加厲，這也使得和企業(yè)利益沒那么緊密的安全問題屢屢被忽略。孟德也向騰訊科技表示，從以前烏云上報告的案例情況來看，新興的移動產(chǎn)品開發(fā)確實要格外注意隱私安全問題。

CVV碼暫存爭議：是否符合國際安全標準？

此次攜程安全漏洞的關(guān)注焦點，在于攜程是否違規(guī)保存了用戶的信用卡CVV/CVC碼信息。所謂CVV安全碼，即信用卡背面簽名條后7位斜體數(shù)字的末三位，是進行網(wǎng)絡(luò)和電話交易時的安全特征，是屬于高度機密的用戶信息。

汽車之家創(chuàng)始人李想表示，“交易網(wǎng)站存CVV相當于小時工偷偷配了你家的鑰匙，同時，他還知道關(guān)于你家所有的信息。而存儲了用戶信用卡的CVV，還泄漏了，前一個是企業(yè)的基本道德問題，后一個是安全問題。”

在離線交易模式下，只要掌握信用卡卡號、有效期、卡背上的3位CVV安全碼等便可以完成交易，整個消費過程中不需要通過任何密碼認證。#p#分頁標題#e#

一位匿名的安全專家告訴騰訊科技，根據(jù)烏云提供的信息來看，攜程違反了銀聯(lián)此前禁止記錄CVC的規(guī)定，導致這次的事件并沒有根本上解決風險的可能。目前用戶只能通過信用卡賬單查詢，才能了解自己的銀行卡是否被盜用。

PCI SSC作為目前國際上支付卡行業(yè)最高級別的安全標準認證，也明確禁止成員保存CVV碼，否則予以重罰。

對于此次泄露用戶CVV信息事件，攜程的官方解釋尚有兩個疑點。

首先，攜程為何會保留用戶的CVV信息、是否違規(guī)？

攜程官方稱，在用戶授權(quán)后，攜程會保存非CVV信息，而未扣款成功的CVV信息最多會被暫存7天，目的是為了降低用戶費力度與協(xié)助用戶便捷支付，符合PCI-DSS規(guī)定，攜程一直按照國際信用卡支付安全標準要求加密保存信用卡信息。

但值得注意的是，攜程此前一直在申請、卻未通過PCI認證，我們無法通過第三方渠道獲取攜程內(nèi)部究竟是否嚴格執(zhí)行PCI規(guī)定。對于暫存7天的說法，一位支付行業(yè)人士則表示，無論如何，PCI都不允許保留CVV，這是一條鐵律，一旦發(fā)現(xiàn)就會懲罰。

MediaV CTO 胡寧認為，攜程可能并未故意存儲CVV信息，但其數(shù)據(jù)傳輸為明文，且線上長時間打開調(diào)試功能，導致系統(tǒng)日志中亦為明文，又未及時清理，所存儲的服務器還有安全漏洞，導致一錯再錯。

第二，攜程的該安全漏洞究竟會影響多少用戶？

攜程官方稱，此次受影響的主要為3月21日與3月22日的部分交易客戶，93名潛在風險用戶已被通知換卡，其余攜程用戶用卡安全不受影響。

烏云網(wǎng)聯(lián)合創(chuàng)始人孟德告訴騰訊科技，攜程該漏洞存在多久、何時出現(xiàn)以及期間是否受到過攻擊造成用戶損失烏云目前還不知情。

不過，由于對潛在風險的擔憂，在微博、微信朋友圈等社交網(wǎng)絡(luò)平臺上，已經(jīng)有諸多用戶表示，其正在向銀行申請更換信用卡。

易搜科技有限公司CEO嚴茂軍在微博上透露，早在2月25日他曾致電攜程其綁定攜程的幾張信用卡被盜刷十幾筆外幣的事件，并懷疑是攜程漏洞造成的。

嚴茂軍告訴騰訊科技，上個月他有2張跟攜程做了綁定的雙幣信用卡被盜刷14筆（大概總共價值1萬元），但攜程官方表示在上周末發(fā)生的話才是這件事的受害者——嚴仍然認為自己也是漏洞受害者，但是沒有辦法證明。

“一直以來都有盜刷這個問題，而且也存在很多的泄漏途徑，所以即使以后攜程用戶信用卡出現(xiàn)盜刷事件也很難確認是否與該漏洞有關(guān)。”孟德對此表示。

騰訊科技致電各大銀行信號信用卡中心，都表示還沒有收到攜程官方公告通知具體情況和應對措施，招商銀行和民生銀行信用卡中心工作人員告訴騰訊科技，暫時不了解攜程信用卡信息泄露相關(guān)的具體信息，但是客戶如果擔心私密信息被泄露，會凍結(jié)舊卡寄送新的卡片。#p#分頁標題#e#

此外，還有業(yè)內(nèi)人士表示，攜程為了讓自身服務達到“說走就走”的便捷，讓用戶在電話里跟客服說出信用卡有效期及CVV2碼等關(guān)鍵信息，也蘊含不小的風險。當然這種情況不僅限于攜程，許多便捷支付都存在類似的風險。

一位銀聯(lián)技術(shù)負責人告訴騰訊科技，目前支付主要有兩類，包括訂購類業(yè)務和普通互聯(lián)網(wǎng)個人業(yè)務，其中訂購類業(yè)務支付風險較高。

在進行互聯(lián)網(wǎng)消費的時候，實際上不同的業(yè)務會對消費行為進行不同限制。一般互聯(lián)網(wǎng)支付業(yè)務是需要用戶多種驗證的，比如會發(fā)送驗證碼短信，用戶需要手工輸入到頁面上完成支付，又或者通過網(wǎng)頁生成的動態(tài)密碼完成。

但是對于攜程這類訂購類業(yè)務的要求比較寬松，因為其能夠追蹤最終受益者。比如說，用戶購買了飛機票、火車票或者訂酒店，在最終使用的時候仍然需要身份證件作為輔助驗證手段，所以其在支付環(huán)節(jié)只需要信用卡的CVC碼等信息就可以完成交易。

安全問題依然是行業(yè)普遍隱患

近幾年，各種用戶信息泄露事件依然層出不窮。

2012年的CSDN泄密事件，曾引起廣泛反思，即網(wǎng)站不應該用明文存儲用戶密碼信息，北京有關(guān)部門甚至還因此向CSDN網(wǎng)運營公司提出了具體整改要求，并做出行政警告處罰。

去年10月，烏云發(fā)布曾報告稱，如家、漢庭等大批酒店的客戶開房記錄因被第三方存儲和系統(tǒng)漏洞而泄露。報告中，烏云曝光了網(wǎng)上下載酒店客戶信息的過程，成功下載的客戶信息中完整記錄了入住酒店旅客的身份證、入住時間、入住的房間號碼等隱私信息。

隨著移動互聯(lián)網(wǎng)興起，用戶包括身份、銀行財產(chǎn)等相關(guān)數(shù)據(jù)和互聯(lián)網(wǎng)應用綁定越來越緊密，泄露風險和威脅越來越大。而企業(yè)為了提高用戶操作和消費便利性，或者為了加快產(chǎn)品開發(fā)流程，往往忽略了安全性。

某互聯(lián)網(wǎng)上市公司負責人告訴騰訊科技，不管是App還是Wap或Web，都只是產(chǎn)品的前端表現(xiàn)形式，所調(diào)用的數(shù)據(jù)源必然只有一個。新產(chǎn)品的上線流程一般是“開發(fā)機——內(nèi)網(wǎng)測試機——發(fā)布員發(fā)布到外網(wǎng)”，每個環(huán)節(jié)都有QA測試，但在把控不嚴或追求速度的情況下，程序員會臨時去外網(wǎng)修改產(chǎn)品，這么做非常危險，因為跳過了控制流程、跳過了發(fā)布員（跟產(chǎn)品開發(fā)不是一撥人），將失去對各環(huán)節(jié)和安全的控制點。

“現(xiàn)在便捷移動支付前端風險主要是手機中病毒被監(jiān)聽輸入數(shù)據(jù)或者移動信號被劫持，這個風險相對而言是容易掌控的，最大最不易掌控的風險出在企業(yè)端口，是互聯(lián)網(wǎng)級別的數(shù)據(jù)安全級別能否跟得上金融級別的數(shù)據(jù)安全的問題?！蹦称髽I(yè)技術(shù)高管認為。

上一篇：Wego：發(fā)布全球首個iOS平臺阿拉伯語旅游搜索應用

下一篇：烏云爆攜程安全支付存漏洞 攜程稱已排查并將重獎發(fā)現(xiàn)者

• 印度：年輕中產(chǎn)增長迅速　出境游勢頭正勁
• 洪清華重新定義目的地度假酒店
• 洪清華：驢媽媽獲錦江投資5億元 深耕O2...
• “旅圖換旅費”途牛旅游APP試水KOL內(nèi)...
• 國家旅游局：《旅行社出境旅游服務規(guī)范》報...
• 藝龍2015年虧10億，是2014年的近...
• 同程被指竊取創(chuàng)業(yè)公司平臺用戶資料挖墻腳
• 春水堂：從情趣電商到智能情趣酒店的理想國
• 習近平：今后5年出境游將超5億人次
• 臺灣開放陸客觀光8年 36起交通事故致...