攜程信息泄露事件帶來的思考
攜程事件在微博上已經沸沸揚揚了,不少朋友還不太清楚整個過程,也不了解漏洞情況, 這個事件最早被曝光是在烏云(wooyun.org,白帽子漏洞發布平臺)上的一個漏洞概述:
漏洞詳情描述:
由于攜程用于處理用戶支付的安全支付服務器接口存在調試功能,將用戶支付的記錄用文本保存了下來。同時因為保存支付日志的服務器未做校嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取。
言下之意就是你只要用了這個接口進行支付,你提交的信息就被存在了服務器,如果有黑客可以入侵該服務器的話,就能讀取到這些內容。攜程官方給出的評論是說在調試過程中間,有兩小時左右用戶的支付信息是被明文保存在服務器上的,其中最嚴重的是信用卡信息泄露,包括但不限于持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等。比較幸運的是,這些數據沒有被保存在任何數據庫里面,只是存在日志中間,看起來很像是一場意外,比起一些直接保存私密信息進數據庫的行為,這個從責任上看是疏忽,不算是惡劣行徑。
但是注意,上面說的是如果有黑客入侵的情況。事實上還真就能入侵, 因為存在另一個漏洞——安全日志可以遍歷下載! 這個的原因據攜程自己人說是webconfig開了目錄遍歷,具體情況我也不太清楚,然而就是這個遍歷漏洞,把影響擴大了,導致用戶不得不去換卡,人心惶惶。但是這個漏洞也某種程度轉移了注意力,讓攜程把用戶的目光轉移到:消滅遍歷漏洞,就能保護住用戶隱私安全了。那么如果這個安全日志遍歷的漏洞沒有爆出來的話,就是安全了嗎?
這就好比你在我的店里消費,刷卡, 我拿去刷POS機的時候,把你的卡號和密碼記在了一張紙上,如果我把它鎖到一個保險箱里,我也不盜你的卡,你我都會相安無事,但是很不幸有一天保險箱被人撬開了,你的卡被盜刷了, 這下麻煩就來了。 攜程很不幸就中了這個獎, 我認為作為一個上市公司,這個是開發人員的疏忽,不應該影響整個網站的安全信譽,我相信攜程一定會重視和警惕此類事件。然而這個事件帶來的問題是,到底有多少網站有潛在泄露我們隱私的風險?有哪些網站在明文傳輸和保存我們的私密信息?
很不幸,這個答案多到讓人難以想象, 因為國內的安全意識還處在上個世紀的水平, 直到去年安全行業火了一把后,大家才開始注重網絡安全。很多用戶在上網的時候,并不會較真一些網站的聲明,而采取了默認的信任。 而在國外,只要涉及敏感用戶隱私的網站,都需要一個非常復雜的聲明,聲稱絕對不會存儲不該存儲的信息,也不會向用戶詢問隱私信息(反詐騙提醒)。
可見,網絡安全技術上固然復雜繁瑣,但是技術問題不可怕,可怕的是意識問題。 我們在工作中間無論是無心還是有意的,沒有把用戶隱私放到一個神圣的地位來對待。用戶本身也不會發現,你平常去一個網站,你很可能使用的就是你支付寶的密碼, 如果這個網站保存下來了,你根本就察覺不到, 如果被泄露了, 在現行法律下,執法機構抓不到黑客的話,也很難追究到網站的責任,這個苦水就只有自己吞了。
而在國外, 身份竊取或者是信用卡詐騙都是聯邦重罪, 為了預防和打擊可能的犯罪,信用卡公司和金融機構每年投入大量的經費,聯合治理網絡支付安全。其中最著名的是 PCI-DSS compliance 以及信用卡3D驗證,其中PCI 是預防信息泄漏, 3D是防止盜取信息者牟利。
什么是PCI-DSS呢? 攜程的這個接口屬于站內支付,在國際上有一個標準是用來管理支付網站安全的,簡稱是PCI compliance, PCI就是 Payment Card Industry, DSS就是data storage security——數據安全,PCI這個標準要求非常高,是需要時事更新的。提供PCI驗證服務的公司通常會多方面地地毯式掃描,會找出各類漏洞, 還要你在申請的時候嚴格申明不能保存不該存的信息,以及不可以不使用 SSL 加密數據傳輸(避免數據嗅探)。我以前自己的網站申請過first data等公司的站內支付服務,PCI將我折磨地不行,而且每3個月都需要更新一次。明天我會寫一篇自己小白時期申請PCI的慘痛經歷。
再說一下3D驗證, 這個在不同國家有不同的做法,多數是通過大數據檢驗你是否是在常用設備和IP上登錄,以及你的行為是否正常(盜取paypal的黑客即便是在被盜用戶自己的機器上都有可能在提現時被鎖號) 如果不是的話彈一個小窗,需要輸入更加隱私的信息, 可以是銀行的密碼保護問題,也可能是生日,社會保險號等,目的是驗證使用者確實是你。
以上兩路大招加起來是否能完全避免信息泄露的損失呢? 當然也做不到100%絕對安全, 但是至少這體現了一種態度和意識。國內大多數公司平常不把安全落實到實處, 得過且過,順其自然。 等到出了問題的時候再修復和危機公關。我相信攜程一定有能力做到完全的PCI compliance 并且時時刻刻保持更新, 也有這個實力去把網絡安全措施做到國際水準,但是它卻沒有做到,就跟大多數其他網站一樣。那為什么沒有機構去監管這樣的行為呢? 在一個連地溝油毒奶粉沒有FDA這樣的嚴格標準監管的地方,PCI確實不是一個性價比高的東西,還不如花點錢多投點廣告來點流量更實際。
