攜程信用卡信息泄露這事兒
我不是專門搞安全的,只是因?yàn)楦簧侔踩袠I(yè)的朋友比較熟,所以,幾乎是第一時(shí)間就看到攜程在烏云上的漏洞信息了。之后順手在微信朋友圈轉(zhuǎn)了一條,然后過了一會(huì)兒發(fā)現(xiàn)這個(gè)事情發(fā)酵了。
接著看到有不少朋友們?cè)谟懻撘灰獡Q卡,有幾位對(duì)信息敏感的朋友已經(jīng)第一時(shí)間聯(lián)系了銀行申請(qǐng)了換卡。
再然后,已經(jīng)看到有人在朋友圈發(fā)布所謂的「攜程信用卡信息被盜」的內(nèi)容,多少令人哭笑不得。
諸多信息里,我的一位朋友發(fā)的信息,我個(gè)人認(rèn)為可信度比較高,就發(fā)了一條微博:
攜程的安全漏洞的小道消息「據(jù)說啊,是無線開了調(diào)試,存了日志,然后Web.config 開了目錄遍歷,才出的狀況,主要是手機(jī) App 這塊出問題了。內(nèi)部人員說用 Web 版本的沒問題。」 用 Web 版本沒問題? 是不是這樣,自己拿主意吧。
如果這個(gè)信息是真的話,那么,開了調(diào)試功能開了多久? 日志有多大? 如果調(diào)試功能開得很短,那么不太可能那么巧被白帽子黑客發(fā)現(xiàn)。所以,我個(gè)人認(rèn)為時(shí)間恐怕夠長(zhǎng)的了,問題是周六發(fā)生的,攜程這樣的公司不會(huì)有人周六加班調(diào)試吧,最最起碼一天以上吧,一天的時(shí)間會(huì)有多少業(yè)務(wù)量? 真的只有那么幾筆?
我不知道。
我之所以說「自己拿主意」,其實(shí)還是怕誤導(dǎo)別人,萬一我說沒必要換卡,別人信用卡被盜刷了怎么辦?
今天攜程的一位朋友微博上給我私信,讓我看一下攜程的公告并且給轉(zhuǎn)發(fā)一下。公告里說「經(jīng)攜程排查,僅漏洞發(fā)現(xiàn)人做了測(cè)試下載,內(nèi)容含有極少量加密卡號(hào)信息,共涉及 93 名存在潛在風(fēng)險(xiǎn)的攜程用戶。」我無法判斷這個(gè)信息的可信度,所以也不想轉(zhuǎn)發(fā),因?yàn)檫@個(gè)公告很明顯還有其他問題。
看起來,攜程是沒通過 PCI DSS 認(rèn)證(至少我找不到攜程通過認(rèn)證的信息)。PCI DSS 這個(gè)縮寫的全稱是: Payment Card Industry Data Security Standard,這是一個(gè)全球通用的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn),國(guó)內(nèi)的幾個(gè)旅游服務(wù)網(wǎng)站,我只看到一家是通過了這個(gè)認(rèn)證的。好了,科普就到這里,如果好奇的話,請(qǐng)自行搜索即可。攜程公告里說「攜程用戶支付卡信息…均按照國(guó)際信用卡支付安全標(biāo)準(zhǔn)要求」,其實(shí)是沒什么說服力的,至少你這次是出了問題的啊,這怎么說?
有些企業(yè)對(duì)客戶信用卡信息的處理,大概是有其歷史問題,比如通過電話客服的時(shí)候,我不止一次遇到過有某家銀行客服要我提供全部的信用卡卡號(hào),和 CVV。你索取我信用卡卡號(hào)就行了,要我的 CVV (信用卡安全碼,Card Security Code) 做什么? 我怎么知道你會(huì)不會(huì)把我的信用卡信息泄露出去? 一般遇到這樣的情況,我就拒絕提供。放心,客服業(yè)務(wù)流程一樣能走通。別問我哪家銀行了,就是號(hào)稱服務(wù)好,但其實(shí)經(jīng)常給用戶發(fā)垃圾信息的那一家。此外,以前我還遇到在一些飯店吃飯,刷卡的時(shí)候,收銀員把我的信用卡卡號(hào)碼刮在小票上去,說是和銀行活動(dòng)驗(yàn)證用。其實(shí)銀行的活動(dòng)只需要驗(yàn)證后幾位數(shù)字就可以,你保留全部信息做什么? 作為個(gè)人用戶,對(duì)自己銀行卡的信息最多也只能敏感到這樣了。又不能不用信用卡。
一般來說,如果商家沒有能力去保護(hù)用戶信用卡信息,最好的辦法就是盡可能的不要存儲(chǔ)它們。如果你看過《掘金黑客》那本書,里面的一個(gè)細(xì)節(jié)就是,黑客們專門去入侵一些安全意識(shí)薄弱的線下商家的收銀系統(tǒng),把信用卡信息拿走。
攜程這次的應(yīng)對(duì),總體上還是過得去的。比預(yù)期的要好,畢竟這是一家不那么互聯(lián)網(wǎng)化的公司。如果要提不足之處,我想說其實(shí)攜程沒必要自己去弄一個(gè)安全應(yīng)急響應(yīng)中心,弄了也沒有誰敢去你那里提交漏洞,萬一被你抓了咋辦? 最好的辦法就是去烏云網(wǎng)站跟白帽子黑客們有效互動(dòng),比如創(chuàng)建正式的官方帳號(hào),然后最起碼要技術(shù)總監(jiān)級(jí)別以上最好是 CTO (如果有的話) 去訂閱最新安全信息,這樣才可能有效地應(yīng)對(duì)突發(fā)情況。對(duì)了,好好感謝一下發(fā)現(xiàn)漏洞的白帽子黑客。 我覺得這次事件對(duì)攜程來說,這已經(jīng)是最好的結(jié)果了。
另外一件比較重要的事兒,盡早通過 PCI DSS 認(rèn)證吧。
聲明:我手里目前不持有攜程股票。
烏云(WooYun.org)是國(guó)內(nèi)最大的第三方漏洞報(bào)告平臺(tái),這是個(gè)很重要的網(wǎng)站。如果你是互聯(lián)網(wǎng)公司的技術(shù)負(fù)責(zé)人,最好早點(diǎn)去關(guān)注烏云的信息。對(duì)安全不重視,到頭來吃虧的還是自己,我只能說到這里了。
