携程信用卡信息泄露事件昨日曝光后持续发酵,由于携程用户数量巨大,且在在线旅游业OTA行业树大招风,各路好汉番茄鸡蛋一起招呼,使得此事件大有闹剧化和狗血化趋势。一些不明真相的群众受到别有用心的媒体煽动,开始对用卡安全产生担忧,以下安全牛不代表任何一方利益,仅仅摆一摆几个基本问题:
一、在乌云平台上曝光的携程漏洞是什么?
携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户的支付记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意黑客读取。
谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户的信息曝光,包括:持卡人姓名身份证、银行卡号、银行卡CVV码、6位卡Bin等非常敏感的内容。
二、漏洞产生的原因,是开发环节安全事故?
关于漏洞产生的原因,携程官方的解释为:技术开发人员为了排查系统疑问,留下了临时日志,因疏忽未及时删除。不过MediaV公司CTO胡宁通过微博批评称:“数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞”。
而据腾讯科技报道,知情人士透露携程此次用户信息泄露事件可能是无线研发推进过快而变相导致的。
某 互联网上市公司CTO接受媒体采访时表示,不管是App还是Wap或Web,都只是产品的前端表现形式,所调用的数据源必然只有一个。新产品的上线流程一般是 “开发机——内网测试机——发布员发布到外网”,每个环节都有QA测试,但在紧急或意外情况下,程序员会临时去外网修改产品,这么做非常危险,因为跳过了 控制流程、跳过了发布员(跟产品开发不是一拨人)。
携程是上市公司,应该有非常严格的控制,该CTO猜测是不小心把没有过滤好的内网代码目录发布到外网了。如果是这种发布错误,问题并不严重,也就是版本控制不力——但如果是有员工跳过流程直接修改,就是特大问题,因为这意味着产品失去了对各环节和安全的控制点。
三、漏洞的性质:是安全漏洞还是违规操作?
正如明朝万达董事长王志海所言:“携程用户信用卡及信息泄漏事件,携程旅 行网回复避重就轻,有漏洞能理解,信息不加密也可只算不重视用户隐私,重点是为什么要违规记录用户信用卡的cvv?作为号称经过PCI认证的知名电商不应该不知道这是违法行为吧?”
至于携程是否违规,或者具体说是否违反所谓PCI行规,目前看还不是问题的重点,因为合规也未必就能保证数据安全。(参看第五条)
四、漏洞真的修补了?
关于此次信用卡信息泄露漏洞,携程官方的说法是:“经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户,而且携程已经修补了有关漏洞”。
携程对数据泄露损害范围判断的依据是“经过排查,仅漏洞发现者做了测试下载”。真实情况如果真的如携程所言,那么此次事件的实际数据泄露范围相比携程的用户数量来说可谓微乎其微。
但问题的可怕之处在于,虽然携程宣称已经第一时间修补漏洞,但是中国互联网的“携程们”擅长亡羊补牢式安全措施,包括所谓“盗刷赔付”,这并不能从根本上解决其安全开发、安全管理、安全意识等多个环节长期存在的制度性“漏洞”,而这个根本性问题不解决,更严重的安全事故几乎不可避免。
五、PCI合规是救命稻草?
携程安全漏洞曝光后很多技术流大V(当然也有不少来自携程的竞争对手)指责携程没有取得PCI DSS(指支付卡行业数据安全标准)认证资质。但实际上,由Visa、万事达和美国运通等信用卡企业制定的PCI-DSS标准规范根本无法应对今天的信息安全新形势,例如美国第四大零售商Target去年12月创纪录地泄露了1.1亿美国人的消费信息(包括4000万信用卡信息),而受到黑客攻击的Target和Neiman Marcus两家零售商都是PCI DSS标准的合规企业。Marcus的CIO在接受媒体采访时指出,Marcus采取了比PCI标准更高的安全措施,但依然没能阻止其用户信用卡数据被黑客窃走并盗刷。
Garnter安全分析师Avivah Litan曾指出:“Targtet信用卡数据泄露表明,PCI标准中没有任何一条内容,能够帮助Target侦测并阻止黑客的入侵。”
而PCI顾问James Huguelet则指出:PCI标准最大的安全问题在于,该标准虽然要求对静态数据加密,但是并不要求企业对数据传输加密,也就是在整个交易流程链中,数据都未被要求加密。(这也就是携程为什么在漏洞出现后依然一口咬定自己遵守了PCI规范的原因,准确讲携程确实遵守了一个有着严重安全缺陷的规范,从这一点来说,PCI合规并非一件多么光彩的事情)