3月22日携程出现重大安全漏洞,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露 (包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。
尽管漏洞仅持续了两个多小时,不过事件引发的恐慌仍在持续。目前看来,该漏洞引发的担忧和愤怒大大超过了漏洞造成的实际危害本身。
恐慌远超实际影响
根据携程官方的说法,目前并没有监测到有用户出现信用卡被盗刷现象,且该漏洞仅影响到了93名用户,携程已经通过电话通知用户更换信用卡,并给予每人500元礼品卡作为补偿。
同时携程承诺若发生盗刷,携程将赔偿用户损失。
国内顶级白帽安全团队Keen Team的安全专家表示,被泄露的日志也并不像传闻所说的不安全,在安全支付日志中被错误记录的用户敏感信息,包括信用卡号、信用卡有效期、信用卡CVV三位验证码是经过AES加密后存储在安全日志中的。在加密密钥没有对外泄露的情况下,AES的加密强度足以抵御来自民间的解密尝试,加密处理过的用户信息在一定程度上还是得到保障的。
按照上述解释,本次漏洞虽然听上去惊悚,但是实际影响是:1、只有3月21-22日消费的93名用户受影响;2、携程将承担用户损失;3、被泄露的日志也很难被黑客利用。
不过用户的负面情绪并没有因为这些解释而有所缓和,直到携程发出解释后,多家银行的客服电话仍然被打爆,有用户甚至愤怒得剪毁了绑定的银行卡,有用户在携程官方微博中评论道,此事的重点不在于漏洞,而在于违法存储用户信息,而500元赔偿的行为也被指避重就轻。
相比起实际损失,该事件引发的三大恐慌更为令人担忧。
一、PCI DSS认证形同虚设?
PCI DSS即第三方支付行业(支付卡行业PCI)数据安全标准,该标准由VISA和MasterCard等机构牵头制定,支付公司都会被要求通过这一安全认证。这一标准规定CVV、追踪数据、磁条或PIN数据等特定信用卡信息不能被商户保存。
携程作为上市公司,在上市时应通过了这一安全认证,不过此次泄露的日志却显示携程明文记录了这些信息。
一名安全行业资深人士表示,PCI DSS含金量越来越低,通过认证后去把标准认真落地的公司越来越少,通过PCI DSS更像是花钱买了一个牌照,并不说明任何问题。
这一说法影射了整个支付安全行业的安全问题——这次暴露问题的是携程,其他通过PCI DSS标准的公司甚至上市公司是否存在同样的问题?用户的信用卡敏感信息被多少公司记录着?下一家会是谁?
若PCI DSS标准缺乏管束力,通过这一标准并不意味着安全,那么其他与支付业务直接相关的公司也将受到一定的信任危机。
二、给央行扼杀在线支付提供口实?
此次携程漏洞出现的时间相当微妙,就在本月央行紧急发文暂停线下二维码支付、虚拟信用卡等面对面支付服务,尽管央行的说法是出于安全考虑,不过更多人愿意相信是移动支付动了银联的奶酪。
而携程这一漏洞的出现恰逢其时地证明了在线支付的风险,有相关技术人士透露,此次泄露是因为无线部门在手机APP调试过程中保存了日志并在Web.config开了目录遍历,也就是说问题出在移动端,所以客观上这一事件的发生可以给央行封杀移动支付提供口实。
尽管这一说法有阴谋论嫌疑,不过两起本无关联的事件引发的用户担忧或影响到移动支付本身的发展。
三、绑定信用卡危机?
尽管此前就有用户担忧过在移动支付产品中绑定银行卡或信用卡是否存在安全风险,不过由于腾讯和阿里的大力推进,用户的这一疑虑正在消除。
事实上微信支付和支付宝也并未发生过用户银行卡信息大规模泄露事件,此前央视对支付宝的质疑在支付宝数次回应后影响力也逐渐被抵消。
不过这次携程的漏洞直接牵涉到了用户的银行卡安全,《风声》的导演高群书发微博称“坚持不用网银,不绑定信用卡,是十分正确的。”
相对于已经习惯在线支付和移动支付的用户,此前不敢尝试或抱犹豫态度的用户是受到这一影响的主要人群,携程的事件给了他们足够的理由拒绝绑定信用卡或使用在线支付。
总而言之,携程此次漏洞事件本身的危害其实相当有限,而媒体大规模曝光、用户的广泛传播引发的恐慌以及连带效应远远超过了这一事件本身,事件持续仅两个小时,而要消除影响需要的时间则远不止两个月。(顾晓波)