携程“信用卡门”:系统性风险还是偶然操作失误?

安全问题会成为互联网时代的大问题,携程信用卡门又一次警醒世人。

周末招商银行的服务电话被人打爆了:很多用户都在咨询自己在携程上做过交易是否需要冻结信用卡?很多人为了安全,选择了先换卡,再冻结信用卡。另有一些用户则在各社交圈子里称“永远不上携程了”。

3月22日晚,漏洞报告平台乌云网披露了携程网安全漏洞信息,漏洞发现者“猪猪侠”称由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意黑客读取。由于携程安全支付日志可以下载,导致大量用户银行卡信息泄露,其中包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等等。

为什么会出现这样的情况?携程相关负责人接受21世纪经济报道记者采访时表示:经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。

某企业负责IT安全的人士向21世纪经济报道表示,利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为。

另外,携程可能违反了银联此前禁止记录CVC码的规定,有可能面临重罚。

是非国际标准

在携程上有信用卡支付经历的人都知道,初次使用时需提供信用卡卡种、卡号、有效期、CVV码(即信用卡验证码)等一系列完整信息,然后提交支付。但第二次在携程网使用这张信用卡时,只需提供卡号后四位,携程网就会完成这次支付操作。

而CVV几乎是核心信息:如果你把卡号、姓名以及有效期等全部报出,商家如何确认这一张卡确实就在用户手中呢?判断的标准就是能否报出CCV号码。如果通过某种途径截取了用户的姓名身份证、银行卡号、卡CVV码等信息,最严重的后果就是凭借这些全卡信息再复制一张信用卡,在网上或者实体商户消费。

事实上,关于留存CVV码,各个市场执行的标准并不一样,比如在美国,Target、Bestbuy、亚马逊等公司也要求在信用卡支付时留存CVV码,但在中国,银联要求信用卡支付不能留存CVV码。

安全一直是互联网时代的一个大问题。2006年为了应对支付安全, visa、mastercard、American Express、Discover Financial Services、JCB这全球五大国际卡组织一起创办了PCI安全标准委员会,并制定了一套保护持卡人数据的技术和操作的基本安全要求措施,即PCI DSS标准。

北京航天亿展科技有限公司是PCI DSS在中国的合作伙伴,该公司于2007年与VISA及建行等将该标准体系引入国内。

航天亿展的工作人员对记者表示,PCI DSS是对于支付网关的安全方面作出标准要求,包括安全管理、策略、过程、网络体系结果等等。据介绍,目前国外按照商户年交易量分为四个等级。第一等级是年交易量在600万笔以上的商户必须接入此系统;第二等级为年交易量100万至600万笔,第三等级为年交易量在100万至200万笔,第二等级及第三等级的商户可以请相关的人员到公司去做商务合规,合规商户会拿到相关报告;第四等级则是年交易量在2万笔,并不强制规定。

目前,南航、网银在线、支付宝、快钱及银联等多家公司及第三方支付公司已经接入该认证。航天亿展的工作人员告诉记者,比如支付宝引入该系统,就要求与其接入的大商户都要做PCI DSS认证,“我们的规范会每隔一段时间就更新。”

而在线旅游网站中,只有去哪儿已经引入该认证标准。上述工作人员告诉记者,此前携程曾有意向接入该系统,但是公司工作人员去考察之后发现,携程系统要整改难度太大,业务种类多且交叉多,如果按照该系统接入而整改会使架构都会有所变化。

“并非携程不想做,而是本身技术条件限制,这个在 PCI里也有规定的,可以申请特批。”而对于携程是否做了商务合规,上述工作人员表示并不清楚。

而携程方则回应记者称,该系统并不是强制性的系统,在携程看来,该系统与是否进行网上支付没有任何关联度,只是商业认证资质,并不是行业准入标准,并不能代表任何问题。“就像如果我是做食品的企业,我没有ISO9000的认证,就能说我不安全么?”

是系统性还是偶然性操作失误?

携程的问题究竟是系统性失误还是偶然操作失误?

携程IT系统完全自建,因为这是一个面向新型互联网业务的系统,十分复杂且超前,超出IBM、SAP、Oracle等传统IT厂商的经验。携程相关负责人解释说:携程IT系统中包括网站系统、在线交易系统、采购系统等子业务系统,从复杂性上来说,能与之比肩的唯有淘宝。

比淘宝更为复杂的是,这些系统需要将从航空公司、酒店集团、线下风景区等供应商那里采购来的产品即时打造成服务方案。先进就是生产力,上述相关负责人说,从某种意义说,携程IT系统是携程核心竞争力之一。

国内类似电商公司大都自建IT系统,如淘宝、京东、凡客等。少部分公司采用引进,比如艺龙,就采用了大股东Expedia在国外的系统。经过在中国市场长时间的实践与磨合,才解决了水土不服的问题。上述负责人的意思很明显,携程出现的问题是偶然问题,非系统性故障。

携程呼叫中心模式加大了偶然风险出现的几率。一位不愿透露姓名的业内人士告诉21世纪经济报道记者:电话中客服人员会口头索要用户的CVV码,这种采用明码支付的方式,上万个坐席只要有一个想偷钱就会出现巨大的风险。

上述相关负责并不这样认为:携程输入卡号、密码、CVV码等是通过语音留言系统进行,而不是明码支付的方式,客服人员无法直接获得上述信息。即使用户拥有上述信息,盗刷信用卡判刑较严,违法成本很高。

上述业内人士透露:2009年以前,携程服务器并不留存用户CVV码,用户每次购买机票,预定酒店都需要输入CVV码;2009年,当时的携程CEO范敏为了简化操作流程,优化客户体验,拍板决定在携程服务器上留存CVV码。

上述消息人士说,携程现任CEO梁建章上任之后,一心发展携程移动互联网及互联网业务,对于呼叫中心运营中的这一细微变化并不知情。

镜像链接:谷歌镜像 | 亚马逊镜像

分类: 新闻 标签: , ,
  1. 匿名
    2014年3月25日13:09 | #1

    美国很多大商户例如亚马逊 是不需cvv码的,作者买过没有?

  2. 匿名
    2014年3月25日13:19 | #2

    去年先后被携程恶意诈骗过两次,只好彻底放弃了携程,当时很想找个地方告他们,但实在无瑕无精力,最后只好给携程下了一个毒咒。。。

  1. 本文目前尚无任何 trackbacks 和 pingbacks.