携程漏洞门涉嫌违规难追责
专家认为,携程存储用户敏感信息CVV码的行为,违背了银联的相关规定,但携程应承担何种责任却不明确,后续处罚也难以跟进
法治周末记者 蔡长春
“乌云”压“程”,“程”欲摧。
近日,国内漏洞研究机构乌云平台曝光称,携程旅行网(以下简称“携程”)存在信息安全漏洞,可能导致其信用卡用户的身份证、卡号、CVV码等多项个人隐私信息的泄露,一时间引发众多用户对携程安全体系的强烈质疑。
据了解,所谓CVV码,即Card Verification Value,是印在信用卡上的一组验证码,通常是由卡号、有效期和服务约束代码生成的3位或4位数字。
“CVV码是作为网络无卡交易时的一种验证码,一旦泄露出去将给持卡人带来很大的安全风险。”信用卡门户网站我爱卡网增值业务部总监董峥告诉法治周末记者。
携程华北区公共事务部工作人员闫鑫在接受法治周末记者采访时表示,携程将在交易完成后删除客户的CVV信息,不再保存。以前保存的那些CVV信息,正在予以删除。
携程此前也发布公告称:“我们将会按照监管部门的要求,尽快优化完善用户的支付流程,排查所有可能存在漏洞,邀请国内知名网络安全专家对携程系统进行会诊。同时,我们已经启动了CFCA和PCI的认证程序,以期更好地符合监管要求。”
不过,携程CVV码安全漏洞事件所带来的魔咒似乎并没有因此得以完全解开,一系列相关的质疑仍在不断涌现――携程为何要存储用户的CVV码?这一做法是否合规?CVV码一旦泄露将给用户带来哪些损失?
携程为何存储用户CVV码
关于携程安全漏洞的报告,由网友猪猪侠发布在乌云平台上。
该报告指出,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意黑客读取。
这些信息包括用户的持卡人姓名、持卡人身份证、所持银行卡类别(如招商银行信用卡等)、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin(用于验证支付信息的6位数字)。
猪猪侠在微博回复法治周末记者采访时表示,目前其个人并不方便对该事件进行评论。
携程发布公告称,携程在发现问题后立即展开技术排查,并在两小时内修复漏洞。
携程在公告中表示,经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。
在这个安全漏洞被曝光的同时,携程保存用户CVV码等重要个人信息的行为也渐渐浮出水面。
闫鑫告诉法治周末记者,这些问题是由于携程工作人员的疏忽所致,并且是该员工的个人行[微博]为,安全日志未及时删除,所以后来才被乌云上的猪猪侠发现了这个漏洞。
“从安全角度来讲,CVV码是没有必要去储存的,商家也不应该储存。”董峥告诉法治周末记者。
既然如此,携程为什么要存储用户的CVV码呢?
闫鑫告诉法治周末记者,CVV码其实就像银行密码一样,主要是公司(即携程)在和银行进行对接的时候需要用到它,如果没有CVV码就无法同银行进行支付业务。
“作为旅游行业的公司,往往会在预订机票或者酒店的时候出现一个缓冲期,其间公司会和银行以及供应商去确认房间与机票是否真正已经预定上,在这个过程中就会存在信息缓存的现象。”闫鑫表示。
此前一位携程的工作人员也曾公开表示,以预定机票和酒店为代表的旅游产品,其价格会随着库存、预订时间实时变化。对于在线旅游网站而言,将用户的姓名、身份证、信用卡号、CVV码等储存起来,预订反应机制会更加灵活,能优化消费者体验。
携程该工作人员称,这或许是行业的一种潜规则。
董峥告诉法治周末记者,这就属于无卡交易,用户将用于支付的信用卡卡号、发卡日期、有效期、CVV码等告知对方公司后,对方会在之后的消费过程中提示消费者继续使用留有相关信息的那张信用卡。
“消费者确认该信用卡支付后,系统就会转向那张卡和它已经存储下来的CVV码,如此就启动了无卡支付流程。”董峥表示,“目前国家对于无卡交易的商户限定非常严格,无卡交易权很难拿到。”
近日也有消息曝出,早在2009年以前,携程的服务器并不留存用户CVV码,用户每次购买机票或者预订酒店都需要输入CVV码;但2009年,携程CEO范敏为了简化操作流程和优化客户体验,最终决定在携程服务器上留存CVV码。
不过这一说法目前尚未得到携程方面的确认。
闫鑫告诉法治周末记者,携程以后一定会严格按照国家以及相关机构的规定,在客人支付完成后,立即将CVV等信息删除。
专家称携程违规
中央财经大学中国银行业研究中心主任郭田勇[微博]在接受法治周末记者采访时表示,依照相关规定,携程存储用户CVV码的行为应属违规。
银联2008年出台的《银联卡收单机构账户信息安全管理标准》中规定,银行卡受理终端仅限于保存当前交易批次内用于交易清分(清算的数据准备阶段,主要是将当日的全部网络交易数据进行汇总、整理、分类)所必需的基本信息要素,并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。
记者同时也发现,目前针对上述违规情况,《银联卡收单机构账户信息安全管理标准》中尚未明确银行卡受理终端违规存储用户CVV码所要承担的相关责任。
“即便如此,相关部门仍可以根据具体情况酌情对违规者进行处罚。”郭田勇表示。
中国政法大学民商经济法学院教授吴景明坦言,有规定但是没有处罚细则,这样违规者也很难得到应有的制裁,所以经营者往往敢于违规操作,这也是当前存在的一个欠缺。
吴景明告诉法治周末记者,如果商家因违规给消费者造成损失,可以按照其他相关规定,如侵权责任法、消费者权益保护法等对其进行制裁。
对于携程保留客户信息是否将面临处罚的问题,闫鑫表示,目前还没有得到任何相关通知。
吴景明表示,新消法中也对信息泄露问题进行了明确规定,即商家对消费者的个人信息要进行严格的保密义务。保护个人信息已经成为现代社会尤其是网络时代一个非常重要的内容。
CVV码泄露的潜在风险
董峥告诉法治周末记者,Visa和MasterCard是国际上两大信用卡组织,CVV码是Visa的称谓,万事达则称作Card Validation Code,即CVC码。
“虽然称谓不同,但是它们的功能却是一样的。”董峥表示。
据董峥介绍,在正常情况下,信用卡到期换卡时卡号是不变的,CVV码则是变的,它是个随机号。而且这个随机号甚至连银行都不知道,不计入银行数据库,相当于一个随机验证码。
“在信用卡信息里,CVV码和卡片号都非常重要,很多消费者的信用卡被盗刷就是因为两个号码同时泄露出去了。”董峥告诉法治周末记者。
在游侠安全网创始人张百川看来,携程存储用户CVV码的行为,具有较大的安全风险。
“携程存储CVV码是出于自身方便的目的,但是它很难保证这些信息在其系统内的安全,而一旦这些数据泄露出去,必将给消费者造成较大的损失,这肯定是与安全相悖的。”张百川告诉法治周末记者。
对此,携程方面曾发布公告称,携程客服于3月23日已全数通知相关用户更换信用卡,并给予上述93名用户每人500元任我行礼品卡作为补偿;经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况。
“这93人并不是真正遇到了信息泄露的问题,只是他们的信息存在潜在的风险。”闫鑫告诉法治周末记者。
闫鑫同时也表示:“实际上这93人名单也是经过加密的,并不是任何人下载这个日志后就可以随便看到里面内容的,不过作为黑客确实有这样的技术能力。”
那么,如果将来出现因此次信息泄露导致的消费者损失的情况,携程又将如何处理?
对此,闫鑫表示:“如果将来出现了消费者因此次信息泄露导致的信用卡被盗刷的情况,携程肯定会在第一时间配合相关部门如公安机关等去积极调查这一问题。”
携程在公告中承诺,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
闫鑫还告诉法治周末记者,携程现在已经及时修补了漏洞,目前所有用户的信用卡信息也都是安全的,大家不用急于去换卡,携程不想因此给消费者造成极大的恐慌,以后也会在安全方面继续加大投入。
携程刚启动PCI认证
在一些业内人士眼中,携程此次出现安全漏洞,与其一直未做PCI标准认证有着较大的关联。
国内首个提供PCI合规咨询与认证的机构――北京航天亿展科技有限公司(以下简称“航天亿展”)的一位相关负责人对法治周末记者表示,PCI是一套针对支付卡行业的国际安全认证标准,主要对持卡人数据在公网上传输、存储、处理进行安全认证,防止卡支付的数据泄露。
该负责人进一步表示,凡是业务中涉及到对持卡人数据的存储、传输和处理的公司,都建议做PCI认证。Visa和银行也会强制涉及到外卡业务的第三方支付公司通过PCI认证。
不过某旅游网站工作人员告诉法治周末记者,目前大多数电商都还没有通过PCI认证,但是也都是按照相应的规范去执行的。
“在线旅游网站中,去哪儿网已经通过了PCI认证,但是携程则没有。”张百川表示。
携程在曝出安全漏洞后也在其公告中称,已经启动了PCI认证程序,以期更好的符合监管要求。
那么,为何携程此前一直没有加入该项认证?
闫鑫告诉法治周末记者:“国家并未强制规定电商一定要加入这个认证才可以在网上进行支付,它只是一个商业性标准。”
不过有消息称,此前携程曾有意向接入该系统,但是公司工作人员去考察之后发现,携程系统要整改难度太大,业务种类多且交叉多,如果按照该系统接入而整改会使架构有所变化。
闫鑫表示,目前尚未获知这一情况。
据航天亿展相关负责人介绍,企业要申请通过此认证,并没有具体的资质要求,只要是有完善的网络系统就可以在专业的PCI合规咨询及认证机构的指导下,完成差距分析和整改工作,并最终获得PCI认证。
不过该负责人告诉法治周末记者,PCI标准有6大项目,下属12个中型项目,再细分为242个小型项目,终端细分为399个流程测试项,整个PCI标准基本就围绕这些项目进行的,需要逐项对所需验证的系统环境进行评估整改,直到满足要求为止。
中国电子商务协会政策法律委员会副主任阿拉木斯告诉法治周末记者,电子商务领域发展较快,变化也较大,一般的鼓励性、参照性、指引性的安全标准比较多。
“针对当前信息安全问题多发的现状,以后在制定强制性标准以及相关法律的建设方面,还需要进一步加强力度。”阿拉木斯表示,“规范需要和法律法规相结合,不履行标准该承担怎样的法律责任,这也需要有相应的规定。”
不过阿拉木斯也坦言,相对来说,系统很难达到绝对安全,它是一个动态的过程,就像操作系统一样,总会不断有漏洞出现,需要不断去打补丁修复,而这种动态性也是当前修法和立法所面临的一个困境。
链接
CFCA:
即中国金融认证中心(China Financial Certification Authority),是经中国人民银行[微博]和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融信息安全基础设施之一。
PIC认证:
即支付卡行业数据安全标准(Payment Card Industry Data Security Standard)。Visa、MasterCard、American Express、Discover Financial Services、JCB这全球五大国际卡组织在2006年一起创办了PCI安全标准委员会,并制定了这套保护持卡人数据的技术和操作的基本安全要求措施。