攜程“漏洞”或人為造成 支付安全成焦點(diǎn)

“攜程網(wǎng)數(shù)據(jù)被黑了，在攜程上訂過機(jī)票的信用卡已經(jīng)不安全啦，快去換掉吧……”，“求技術(shù)解答，我在攜程用過好幾張信用卡，要不要全部換掉?”整個(gè)周末，朋友圈不斷刷新這些信息，攜程網(wǎng)到底怎么啦?攜程網(wǎng)攤上大事啦!

3月22日，烏云漏洞平臺(tái)發(fā)布消息稱，攜程系統(tǒng)存技術(shù)漏洞，可導(dǎo)致用戶個(gè)人信息、銀行卡信息等泄露。消息一出，讓知名旅游網(wǎng)站攜程網(wǎng)突然成為“眾矢之的”。

攜程被爆支付漏洞 或人為造成

3月22日，國內(nèi)知名漏洞報(bào)告平臺(tái)烏云網(wǎng)公布了“攜程安全支付日歷導(dǎo)致用戶銀行卡信息泄露”的相關(guān)信息。漏洞發(fā)現(xiàn)者指出，攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能，使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。而該信息加密級(jí)別并不夠高，可以被駭客輕易獲取。泄露的信息包括用戶的：持卡人姓名、身份證、所持銀行卡類別(比如，招商銀行信用卡、中國銀行信用卡)、卡號(hào)、CVV碼(信用卡背后的一組數(shù)字)以及用于支付的6位密碼。

幾個(gè)小時(shí)之后，攜程網(wǎng)發(fā)表官方的回復(fù)，攜程技術(shù)人員已經(jīng)確認(rèn)該漏洞并在兩小時(shí)內(nèi)及時(shí)修復(fù)，對(duì)于烏云平臺(tái)發(fā)現(xiàn)的漏洞信息表示感謝。該漏洞受影響的用戶為近期的部分交易客戶，目前并沒有用戶受到該漏洞的影響而造成相應(yīng)財(cái)產(chǎn)損失的情況發(fā)現(xiàn)。攜程旅行網(wǎng)始終對(duì)信息安全非常重視，對(duì)于此次漏洞事件如果有新的進(jìn)展將持續(xù)通報(bào)。

這樣官方的說辭引起了更多的恐慌。“泄露門”經(jīng)過傳播已經(jīng)被大多數(shù)人解讀為，只要在攜程用信用卡消費(fèi)過的用戶，都有可能面臨這樣的風(fēng)險(xiǎn)。次日，與攜程有合作的幾大銀行卡客服電話通通被打爆，很多用戶要求換卡。招商銀行信用卡的客服是這樣解釋的，只有在21、22號(hào)期間發(fā)生購買行為的用戶才有可能有風(fēng)險(xiǎn)，其他用戶沒有風(fēng)險(xiǎn)。

另據(jù)知情人士透露，這次攜程的安全漏洞，可能并不是在Web網(wǎng)頁上的漏洞導(dǎo)致，而是無線部門在手機(jī)APP產(chǎn)品調(diào)試過程中，保存了日志并在Web.config 開了目錄遍歷才出的狀況。一旦掌握了目錄遍歷，攻擊者能夠超過服務(wù)器的根目錄，從而訪問到文件系統(tǒng)的其他部分，訪問受限制文件或資源，或者采取更危險(xiǎn)行為。

3月23日，攜程給出更為詳細(xì)的解釋，“攜程的技術(shù)開發(fā)人員為了排查系統(tǒng)疑問在線上環(huán)境開啟了支付調(diào)試功能，留下了臨時(shí)日志，因疏忽未能及時(shí)刪除，目前，這些信息已經(jīng)刪除。經(jīng)過排查，僅漏洞發(fā)展者做了測(cè)試下載，共涉及93名存在風(fēng)險(xiǎn)的的攜程用戶。沒有接到攜程電話通知的用戶，個(gè)人信息是安全的。”

攜程失去的信譽(yù)能否挽回

前不久，中國之聲《央廣新聞》曾報(bào)道，攜程旅行網(wǎng)近日在網(wǎng)上被網(wǎng)友們紛紛吐槽，曝光“多宗罪”，即：霸王條款、欺詐消費(fèi)者、單方毀約、服務(wù)質(zhì)量差、虛假宣傳等。此外，人民網(wǎng)推出的旅游投訴平臺(tái)也顯示，在所有的旅游投訴中，攜程網(wǎng)的投訴率高居榜首。

接二連三的信任危機(jī)對(duì)攜程的應(yīng)對(duì)能力可以說是一個(gè)嚴(yán)峻的考研。從網(wǎng)友吐槽“多宗罪”到出現(xiàn)系統(tǒng)技術(shù)漏洞，攜程，這家1999年創(chuàng)辦的、目前被譽(yù)為中國領(lǐng)先的在線票務(wù)服務(wù)公司該做出一個(gè)怎樣的選擇?是企業(yè)發(fā)展的陣痛還是經(jīng)營理念的缺失，亦或者是管理的麻痹大意?不管怎樣，作為消費(fèi)者最關(guān)心的始終是這個(gè)企業(yè)能夠帶來的便捷與誠信服務(wù)。

長此以往，也難怪網(wǎng)友會(huì)吐槽。任何一個(gè)有業(yè)界良知和社會(huì)責(zé)任擔(dān)當(dāng)?shù)钠髽I(yè)，在面對(duì)消費(fèi)者的質(zhì)疑時(shí)都應(yīng)該首先從自身角度來思考是否存在問題，而不是從其他方面找原因。你既然是這個(gè)行業(yè)的巨頭，就應(yīng)該有個(gè)巨頭的樣子，拿出點(diǎn)誠意來，是什么問題就開什么藥方，否則，離失敗就不遠(yuǎn)了。因?yàn)橄M(fèi)者的信任是一個(gè)企業(yè)能否立足的根本，當(dāng)消費(fèi)者都對(duì)你嗤之以鼻之時(shí)，就算你有九牛二虎之力恐怕也不能“翻身農(nóng)奴把歌唱”了。誠信經(jīng)營，應(yīng)該未雨綢繆，不能臨時(shí)抱佛腳，更不能抱著可有可無的態(tài)度，不然，失去的就不僅僅是消費(fèi)者和市場(chǎng)了，甚至?xí)屇銉A家蕩產(chǎn)。

對(duì)攜程來說，這次的事件與其說是技術(shù)上的漏洞，不如說是信譽(yù)上的危機(jī)。同時(shí)也讓我們看到了安全的重要性：建立用戶信任可能需要若干年，毀掉它卻只需要一天。攜程旅行網(wǎng)上周末發(fā)生的信用卡信息泄露事件，或?yàn)樗姓谙驘o線市場(chǎng)大舉沖刺的企業(yè)敲響了警鐘。

攜程敲響安全支付警鐘

近幾年，各種用戶信息泄露事件依然層出不窮。2012年的CSDN泄密事件，曾引起廣泛反思。去年10月，烏云發(fā)布曾報(bào)告稱，如家、漢庭等大批酒店的客戶開房記錄因被第三方存儲(chǔ)和系統(tǒng)漏洞而泄露。報(bào)告中，烏云曝光了網(wǎng)上下載酒店客戶信息的過程，成功下載的客戶信息中完整記錄了入住酒店旅客的身份證、入住時(shí)間、入住的房間號(hào)碼等隱私信息。

隨著移動(dòng)互聯(lián)網(wǎng)興起，用戶包括身份、銀行財(cái)產(chǎn)等相關(guān)數(shù)據(jù)和互聯(lián)網(wǎng)應(yīng)用綁定越來越緊密，泄露風(fēng)險(xiǎn)和威脅越來越大。而企業(yè)為了提高用戶操作和消費(fèi)便利性，或者為了加快產(chǎn)品開發(fā)流程，往往忽略了安全性。

某互聯(lián)網(wǎng)上市公司負(fù)責(zé)人表示，不管是App還是Wap或Web，都只是產(chǎn)品的前端表現(xiàn)形式，所調(diào)用的數(shù)據(jù)源必然只有一個(gè)。新產(chǎn)品的上線流程一般是“開發(fā)機(jī)——內(nèi)網(wǎng)測(cè)試機(jī)——發(fā)布員發(fā)布到外網(wǎng)”，每個(gè)環(huán)節(jié)都有QA測(cè)試，但在把控不嚴(yán)或追求速度的情況下，程序員會(huì)臨時(shí)去外網(wǎng)修改產(chǎn)品，這么做非常危險(xiǎn)，因?yàn)樘^了控制流程、跳過了發(fā)布員(跟產(chǎn)品開發(fā)不是一撥人)，將失去對(duì)各環(huán)節(jié)和安全的控制點(diǎn)。?有專家稱，“攜程安全漏洞事件雖然只是一個(gè)偶然，卻反映出互聯(lián)網(wǎng)金融在經(jīng)歷快速發(fā)展之時(shí)，到了需要監(jiān)管的時(shí)候。”

“泄露門”對(duì)攜程信譽(yù)的影響不言而喻，據(jù)悉昨晚七點(diǎn)，攜程高層還在召開緊急會(huì)議，直到晚八點(diǎn)半還沒有結(jié)束。顯然，攜程網(wǎng)安全漏洞信息還在繼續(xù)發(fā)酵。消息稱攜程計(jì)劃將與國際知名信息安全認(rèn)證機(jī)構(gòu)合作，共同保護(hù)消費(fèi)者的個(gè)人信息。高居榜首的投訴率，不斷發(fā)生狀況的系統(tǒng)技術(shù)漏洞，縱使及時(shí)修復(fù)，可消費(fèi)者所受的創(chuàng)傷能否痊愈，失去的信任能否挽回?