攜程“漏洞”或人為造成 支付安全成焦點

“攜程網(wǎng)數(shù)據(jù)被黑了，在攜程上訂過機票的信用卡已經(jīng)不安全啦，快去換掉吧……”，“求技術解答，我在攜程用過好幾張信用卡，要不要全部換掉?”整個周末，朋友圈不斷刷新這些信息，攜程網(wǎng)到底怎么啦?攜程網(wǎng)攤上大事啦!

3月22日，烏云漏洞平臺發(fā)布消息稱，攜程系統(tǒng)存技術漏洞，可導致用戶個人信息、銀行卡信息等泄露。消息一出，讓知名旅游網(wǎng)站攜程網(wǎng)突然成為“眾矢之的”。

攜程被爆支付漏洞 或人為造成

3月22日，國內知名漏洞報告平臺烏云網(wǎng)公布了“攜程安全支付日歷導致用戶銀行卡信息泄露”的相關信息。漏洞發(fā)現(xiàn)者指出，攜程將用于處理用戶支付的服務接口開啟了調試功能，使所有向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務器。而該信息加密級別并不夠高，可以被駭客輕易獲取。泄露的信息包括用戶的：持卡人姓名、身份證、所持銀行卡類別(比如，招商銀行信用卡、中國銀行信用卡)、卡號、CVV碼(信用卡背后的一組數(shù)字)以及用于支付的6位密碼。

幾個小時之后，攜程網(wǎng)發(fā)表官方的回復，攜程技術人員已經(jīng)確認該漏洞并在兩小時內及時修復，對于烏云平臺發(fā)現(xiàn)的漏洞信息表示感謝。該漏洞受影響的用戶為近期的部分交易客戶，目前并沒有用戶受到該漏洞的影響而造成相應財產(chǎn)損失的情況發(fā)現(xiàn)。攜程旅行網(wǎng)始終對信息安全非常重視，對于此次漏洞事件如果有新的進展將持續(xù)通報。

這樣官方的說辭引起了更多的恐慌。“泄露門”經(jīng)過傳播已經(jīng)被大多數(shù)人解讀為，只要在攜程用信用卡消費過的用戶，都有可能面臨這樣的風險。次日，與攜程有合作的幾大銀行卡客服電話通通被打爆，很多用戶要求換卡。招商銀行信用卡的客服是這樣解釋的，只有在21、22號期間發(fā)生購買行為的用戶才有可能有風險，其他用戶沒有風險。

另據(jù)知情人士透露，這次攜程的安全漏洞，可能并不是在Web網(wǎng)頁上的漏洞導致，而是無線部門在手機APP產(chǎn)品調試過程中，保存了日志并在Web.config 開了目錄遍歷才出的狀況。一旦掌握了目錄遍歷，攻擊者能夠超過服務器的根目錄，從而訪問到文件系統(tǒng)的其他部分，訪問受限制文件或資源，或者采取更危險行為。

3月23日，攜程給出更為詳細的解釋，“攜程的技術開發(fā)人員為了排查系統(tǒng)疑問在線上環(huán)境開啟了支付調試功能，留下了臨時日志，因疏忽未能及時刪除，目前，這些信息已經(jīng)刪除。經(jīng)過排查，僅漏洞發(fā)展者做了測試下載，共涉及93名存在風險的的攜程用戶。沒有接到攜程電話通知的用戶，個人信息是安全的。”

攜程失去的信譽能否挽回

前不久，中國之聲《央廣新聞》曾報道，攜程旅行網(wǎng)近日在網(wǎng)上被網(wǎng)友們紛紛吐槽，曝光“多宗罪”，即：霸王條款、欺詐消費者、單方毀約、服務質量差、虛假宣傳等。此外，人民網(wǎng)推出的旅游投訴平臺也顯示，在所有的旅游投訴中，攜程網(wǎng)的投訴率高居榜首。

接二連三的信任危機對攜程的應對能力可以說是一個嚴峻的考研。從網(wǎng)友吐槽“多宗罪”到出現(xiàn)系統(tǒng)技術漏洞，攜程，這家1999年創(chuàng)辦的、目前被譽為中國領先的在線票務服務公司該做出一個怎樣的選擇?是企業(yè)發(fā)展的陣痛還是經(jīng)營理念的缺失，亦或者是管理的麻痹大意?不管怎樣，作為消費者最關心的始終是這個企業(yè)能夠帶來的便捷與誠信服務。

長此以往，也難怪網(wǎng)友會吐槽。任何一個有業(yè)界良知和社會責任擔當?shù)钠髽I(yè)，在面對消費者的質疑時都應該首先從自身角度來思考是否存在問題，而不是從其他方面找原因。你既然是這個行業(yè)的巨頭，就應該有個巨頭的樣子，拿出點誠意來，是什么問題就開什么藥方，否則，離失敗就不遠了。因為消費者的信任是一個企業(yè)能否立足的根本，當消費者都對你嗤之以鼻之時，就算你有九牛二虎之力恐怕也不能“翻身農(nóng)奴把歌唱”了。誠信經(jīng)營，應該未雨綢繆，不能臨時抱佛腳，更不能抱著可有可無的態(tài)度，不然，失去的就不僅僅是消費者和市場了，甚至會讓你傾家蕩產(chǎn)。

對攜程來說，這次的事件與其說是技術上的漏洞，不如說是信譽上的危機。同時也讓我們看到了安全的重要性：建立用戶信任可能需要若干年，毀掉它卻只需要一天。攜程旅行網(wǎng)上周末發(fā)生的信用卡信息泄露事件，或為所有正在向無線市場大舉沖刺的企業(yè)敲響了警鐘。

攜程敲響安全支付警鐘

近幾年，各種用戶信息泄露事件依然層出不窮。2012年的CSDN泄密事件，曾引起廣泛反思。去年10月，烏云發(fā)布曾報告稱，如家、漢庭等大批酒店的客戶開房記錄因被第三方存儲和系統(tǒng)漏洞而泄露。報告中，烏云曝光了網(wǎng)上下載酒店客戶信息的過程，成功下載的客戶信息中完整記錄了入住酒店旅客的身份證、入住時間、入住的房間號碼等隱私信息。

隨著移動互聯(lián)網(wǎng)興起，用戶包括身份、銀行財產(chǎn)等相關數(shù)據(jù)和互聯(lián)網(wǎng)應用綁定越來越緊密，泄露風險和威脅越來越大。而企業(yè)為了提高用戶操作和消費便利性，或者為了加快產(chǎn)品開發(fā)流程，往往忽略了安全性。

某互聯(lián)網(wǎng)上市公司負責人表示，不管是App還是Wap或Web，都只是產(chǎn)品的前端表現(xiàn)形式，所調用的數(shù)據(jù)源必然只有一個。新產(chǎn)品的上線流程一般是“開發(fā)機——內網(wǎng)測試機——發(fā)布員發(fā)布到外網(wǎng)”，每個環(huán)節(jié)都有QA測試，但在把控不嚴或追求速度的情況下，程序員會臨時去外網(wǎng)修改產(chǎn)品，這么做非常危險，因為跳過了控制流程、跳過了發(fā)布員(跟產(chǎn)品開發(fā)不是一撥人)，將失去對各環(huán)節(jié)和安全的控制點。?有專家稱，“攜程安全漏洞事件雖然只是一個偶然，卻反映出互聯(lián)網(wǎng)金融在經(jīng)歷快速發(fā)展之時，到了需要監(jiān)管的時候。”

“泄露門”對攜程信譽的影響不言而喻，據(jù)悉昨晚七點，攜程高層還在召開緊急會議，直到晚八點半還沒有結束。顯然，攜程網(wǎng)安全漏洞信息還在繼續(xù)發(fā)酵。消息稱攜程計劃將與國際知名信息安全認證機構合作，共同保護消費者的個人信息。高居榜首的投訴率，不斷發(fā)生狀況的系統(tǒng)技術漏洞，縱使及時修復，可消費者所受的創(chuàng)傷能否痊愈，失去的信任能否挽回?