攜程違反銀聯禁止記錄CVC碼的規定 可能面臨重罰
攜程“信用卡門”:系統性風險還是偶然操作失誤
原標題:攜程“信用卡門”:系統性風險還是偶然操作失誤����?
安全問題會成為互聯網時代的大問題�,攜程信用卡門又一次警醒世人��。
周末招商銀行的服務電話被人打爆了:很多用戶都在咨詢自己在攜程上做過交易是否需要凍結信用卡�?很多人為了安全����,選擇了先換卡,再凍結信用卡���。另有一些用戶則在各社交圈子里稱“永遠不上攜程了”。
3月22日晚,漏洞報告平臺烏云網披露了攜程網安全漏洞信息,漏洞發現者“豬豬俠”稱由于攜程開啟了用戶支付服務接口的調試功能�,支付過程中的調試信息可被任意黑客讀取����。由于攜程安全支付日志可以下載��,導致大量用戶銀行卡信息泄露����,其中包含持卡人姓名身份證��、銀行卡號���、卡CVV碼��、6位卡Bin等等。
為什么會出現這樣的情況�����?攜程相關負責人接受21世紀經濟報道記者采訪時表示:經查�����,攜程的技術開發人員之前是為了排查系統疑問,留下了臨時日志�����,因疏忽未及時刪除����,目前,這些信息已被全部刪除��。
某企業負責IT安全的人士向21世紀經濟報道表示����,利用目錄遍歷攻擊漏洞,攻擊者能夠超過服務器的根目錄��,從而訪問到文件系統的其他部分��,訪問受限制文件或資源���,或者采取更危險行為�����。
另外����,攜程可能違反了銀聯此前禁止記錄CVC碼的規定����,有可能面臨重罰���。
是非國際標準
在攜程上有信用卡支付經歷的人都知道��,初次使用時需提供信用卡卡種��、卡號、有效期���、CVV碼(即信用卡驗證碼)等一系列完整信息,然后提交支付����。但第二次在攜程網使用這張信用卡時��,只需提供卡號后四位,攜程網就會完成這次支付操作���。
而CVV幾乎是核心信息:如果你把卡號、姓名以及有效期等全部報出�,商家如何確認這一張卡確實就在用戶手中呢�?判斷的標準就是能否報出CCV號碼���。如果通過某種途徑截取了用戶的姓名身份證����、銀行卡號、卡CVV碼等信息���,最嚴重的后果就是憑借這些全卡信息再復制一張信用卡,在網上或者實體商戶消費�。
事實上����,關于留存CVV碼����,各個市場執行的標準并不一樣�����,比如在美國�����,Target、Bestbuy、亞馬遜等公司也要求在信用卡支付時留存CVV碼�,但在中國����,銀聯要求信用卡支付不能留存CVV碼�。
安全一直是互聯網時代的一個大問題。2006年為了應對支付安全, visa���、mastercard、American Express、Discover Financial Services、JCB這全球五大國際卡組織一起創辦了PCI安全標準委員會����,并制定了一套保護持卡人數據的技術和操作的基本安全要求措施���,即PCI DSS標準���。
北京航天億展科技有限公司是PCI DSS在中國的合作伙伴�,該公司于2007年與VISA及建行等將該標準體系引入國內�。
航天億展的工作人員對記者表示�����,PCI DSS是對于支付網關的安全方面作出標準要求���,包括安全管理��、策略���、過程���、網絡體系結果等等�。據介紹�����,目前國外按照商戶年交易量分為四個等級���。第一等級是年交易量在600萬筆以上的商戶必須接入此系統���;第二等級為年交易量100萬至600萬筆����,第三等級為年交易量在100萬至200萬筆��,第二等級及第三等級的商戶可以請相關的人員到公司去做商務合規�,合規商戶會拿到相關報告����;第四等級則是年交易量在2萬筆,并不強制規定����。
目前,南航�����、網銀在線�����、支付寶�����、快錢及銀聯等多家公司及第三方支付公司已經接入該認證。航天億展的工作人員告訴記者����,比如支付寶引入該系統�����,就要求與其接入的大商戶都要做PCI DSS認證,“我們的規范會每隔一段時間就更新�����?�!?而在線旅游網站中��,只有去哪兒已經引入該認證標準。上述工作人員告訴記者���,此前攜程曾有意向接入該系統,但是公司工作人員去考察之后發現�,攜程系統要整改難度太大����,業務種類多且交叉多�,如果按照該系統接入而整改會使架構都會有所變化。
“并非攜程不想做�,而是本身技術條件限制�,這個在PCI里也有規定的���,可以申請特批�。”而對于攜程是否做了商務合規���,上述工作人員表示并不清楚。
而攜程方則回應記者稱�,該系統并不是強制性的系統�����,在攜程看來,該系統與是否進行網上支付沒有任何關聯度���,只是商業認證資質,并不是行業準入標準�����,并不能代表任何問題����。“就像如果我是做食品的企業,我沒有ISO9000的認證���,就能說我不安全么?”
是系統性還是偶然性操作失誤��?
攜程的問題究竟是系統性失誤還是偶然操作失誤���?
攜程IT系統完全自建�����,因為這是一個面向新型互聯網業務的系統,十分復雜且超前,超出IBM��、SAP�����、Oracle等傳統IT廠商的經驗�����。攜程相關負責人解釋說:攜程IT系統中包括網站系統、在線交易系統、采購系統等子業務系統��,從復雜性上來說��,能與之比肩的唯有淘寶���。
比淘寶更為復雜的是�,這些系統需要將從航空公司����、酒店集團、線下風景區等供應商那里采購來的產品即時打造成服務方案�����。先進就是生產力�,上述相關負責人說,從某種意義說,攜程IT系統是攜程核心競爭力之一。
國內類似電商公司大都自建IT系統��,如淘寶�����、京東、凡客等����。少部分公司采用引進��,比如藝龍,就采用了大股東Expedia在國外的系統��。經過在中國市場長時間的實踐與磨合�,才解決了水土不服的問題�����。上述負責人的意思很明顯,攜程出現的問題是偶然問題�,非系統性故障�����。
攜程呼叫中心模式加大了偶然風險出現的幾率。一位不愿透露姓名的業內人士告訴21世紀經濟報道記者:電話中客服人員會口頭索要用戶的CVV碼��,這種采用明碼支付的方式��,上萬個坐席只要有一個想偷錢就會出現巨大的風險�。
上述相關負責并不這樣認為:攜程輸入卡號����、密碼、CVV碼等是通過語音留言系統進行,而不是明碼支付的方式�����,客服人員無法直接獲得上述信息�����。即使用戶擁有上述信息,盜刷信用卡判刑較嚴����,違法成本很高�。
上述業內人士透露:2009年以前��,攜程服務器并不留存用戶CVV碼�,用戶每次購買機票�,預定酒店都需要輸入CVV碼;2009年���,當時的攜程CEO范敏為了簡化操作流程,優化客戶體驗��,拍板決定在攜程服務器上留存CVV碼���。
上述消息人士說����,攜程現任CEO梁建章上任之后,一心發展攜程移動互聯網及互聯網業務�,對于呼叫中心運營中的這一細微變化并不知情���。
