携程究竟错在哪里：支付流程和风险管理

　　携程需要加大信息安全上的投入

　　这次安全漏洞事件，携程暴露出来的不仅仅是信息泄露一点，还有支付流程和风险管理问题。

　　本刊记者 朱晓培

　　如同硬币的正反面，科技发展带给人们便利的同时，各种烦恼也如影随形。

　　3月22日，乌云漏洞平台发布了一个编号为WooYun-2012-54302的漏洞报告。报告指出，由于携程开启了用户支付服务接口的调试功能，支付过程中的调试信息可以被任意黑客读取。

　　这将导致大量用户银行卡信息泄露，其中包含持卡人姓名、身份证号、银行卡号、卡CVV码、6位卡Bin等等。有了这些信息，基本已经可以进行支付。

　　那么，携程究竟错在哪里？专注于安全保护的梆梆安首席运营官赵宇认为，携程暴露出来的不仅仅是信息泄露一点，还有支付流程和风险管理问题。

　　1.付款流程没有经过安全评估

　　“上市公司产品发布前是需要有安全评估流程的，但显然携程缺失了这一环节。”赵宇说。当然，由于国内的信用卡支付大多数时候需要短信验证，此次信息泄露对用户的影响可能“没那么夸张”。事后，漏洞的发现者、乌云漏洞报告平台核心白帽子黑客王音也在其个人微博发布声明称：“大家对于信用卡相关话题的反应有点过于敏感了，目前本人已经将安全测试涉及的日志信息彻底删除，而且卡号等敏感信息有加密，携程也已经及时修复漏洞，相关信息并没有被传播。”

　　2.存储数据的边界

　　从纯技术的视角说，这个安全事件并不是很严重，携程在发布的声明中解释说，携程技术人员之前为了排查系统疑问，留下了临时日志，因疏忽未及时删除。但是作为客户，人们不免要追问：为什么携程会保存CVV信息？作为OTA等第三方平台，合规做法是用户卡信息系统不得记录，但实际上，为了方便旅客下次消费直接调出记录支付，网站通常会记录下客户的信用卡全部信息。

　　对于第三方平台来说，只要保存了用户资料，就会有风险存在。“在中国，一个文件从电脑(手机)到服务器中间的传输过程中，可能被10多家公司的10多种设备监听。”赵宇说，无法保障还原后的隐私不会被泄露出去。

　　在王音看来，目前携程需要做的是加大信息安全投入，让技术人员有动力去处理安全问题，从而营造出越来越好的安全生态，“促使这个生态形成，就是乌云要做的事情。”

　　历史上的重大信息泄露事件

　　1.如家、七天开房信息泄密：曝光用户信息多达2000万条

　　2013年10月，如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。在一个名为“查开房”的网址，只需输入姓名或身份证号，即可查询到包括身份证号、地址、手机号、登记日期等真实信息。

　　2.棱镜门事件：美国政府窥探着全世界的一切

　　据美国中情局前职员爱德华·斯诺登爆料：“棱镜”窃听计划开始于2007年的小布什时期，监控的类型有10类：信息电邮，即时消息，视频，照片，存储数据，语音聊天，文件传输，视频会议，登录时间，社交网络资料的细节。

　　　3.“社工库”叫卖用户账号、密码

　　2012年11月，一个自称是国内最全、每日更新300兆的“社工库”网站，公开出售自己所拥有的互联网用户的账号和密码，据称开价500元就可以买到100万条密码。该网站称自己拥有“300亿彩虹库”，“所有的密文都可以瞬时被破解”。在其主页上的标语是“社工库只有你想不到的查询方式，没有我们查不到的信息。”

　　4.CSDN、天涯网等大面积泄露用户账号

　　2011年12月，CSDN的安全系统遭到黑客攻击，600万用户的登录名、密码及邮箱遭到泄漏。随后，多玩、世纪佳缘、走秀、天涯、支付宝、京东等网站相继被曝用户数据遭泄密。