業內人士透露旅游類網站在線支付方式更為寬松

國內網絡安全問題反饋平臺——烏云漏洞平臺發布消息稱，由于攜程網系統存技術漏洞，用戶個人信息、銀行卡信息可能會遭泄露。業內分析人士稱，攜程并沒有支付牌照，按規定不允許存儲用戶銀行卡信息，此次事件暴露出相關企業內控機制方面的短板以及部分第三方支付機構風險管理存在隱患，建議有關部門盡快出臺保護個人隱私的法律法規，同時對泄露客戶信息的機構進行處罰，為在線支付把好“安全閥門”。

綜合京華時報記者廖豐平亦凡新華社電

□事件

交易網站違規存CVV碼

攜程將用于處理用戶支付的服務接口開啟了調試功能，使部分向銀行驗證持卡所有者接口傳輸的數據包直接保存在本地服務器，有可能被黑客所讀取。攜程沒有支付牌照，按照規定不允許存儲用戶銀行卡信息，尤其是CVV碼（又叫用戶識別碼，是銀行卡進行非面對面交易時用于確認用戶身份的識別碼，作用類似于密碼）。而上述調試接口，通常是攜程需要和合作公司調試時才打開，數據包通常會有多種加密功能，即便被下載也很難破譯。

據了解，攜程合作的銀行包括工商銀行、中國銀行、招商銀行、浦發銀行等十余家，第三方支付機構包括支付寶、財付通、銀聯在線等。

攜程作為納斯達克上市的在線第三方支付企業，必須遵守《第三方支付行業數據安全標準》，其中明確規定了如何實施數據保護，以及哪些信息可以保存、哪些信息不能保存，CVV碼屬于不允許存儲的敏感數據。

“交易網站存CVV碼，相當于小時工偷偷配了你家的鑰匙，同時，他還知道關于你家所有的信息。”新浪認證微博、汽車之家創始人李想說，“需要輸入CVV碼和存儲CVV碼是兩個概念。有些信息可以存，有些信息無論如何也不能存，攜程存了無論如何也不該存的CVV碼，這相當于把你信用卡的密碼存儲并泄露了。”

□揭秘

旅游產品支付手段較“寬松”

烏云曝出的攜程支付漏洞事件讓不少人非常詫異：攜程為什么要保存信用卡的CVV碼？記者調查發現，這跟旅游產品預訂的特性有關。

以機票和酒店為代表的旅游產品，價格隨著庫存、預訂時間實時變化。網購一張機票的流程是，用戶查詢到一個航班以后，比如看到一張400元3折的機票，用戶輸入乘機人姓名和身份證點擊下一步，然后完成支付，代理商在看到用戶完成支付后會憑借這個完整的訂單進行出票。但用戶填寫信息需要一定時間，對網購熟悉的用戶完成支付最快會花30秒，慢的則需要1-2分鐘，在這過程中，此前的3折票很可能已被航空公司取消或者變價，價格可能漲到了450元，這就出現了支付成功但不出票。

所以說并不是填寫完個人信息，點擊下一步票就預訂成功。如果消費者預訂時相關產品庫存和價格數據與實時情況相匹配，則預訂成功，相關款項也會支付出去。然而，當消費者的預訂指令發出后，后臺處理往往會出現各種情況，如庫存沒有了，或者價格漲了，這時候，預訂平臺就會反饋消費者是否做其他選擇或繼續預訂。為了優化消費者的體驗，對于在線旅游網站而言，將消費者的姓名、身份證、信用卡號、CVV碼等儲存起來，在這種情況下預訂反應機制會更靈活，后臺系統訪問相關數據庫回轉機制的頻率比買實體商品要高。

第三方支付也存儲用戶信息

從技術上看，旅游產品支付條件“更寬松”，預訂旅游產品是不是比普通網購更不安全？一位資深技術人士告訴記者，事實上，包括第三方支付平臺也會將消費者的相關數據儲存起來。正規的網購平臺儲存數據后會進行加密，之后數據進入一個密封的管道中，只有和銀行對賬時，相關數據才會解密。

在預訂成功后，數據是如何“保存”下來的呢？其實相關數據此時已在預訂后臺被刪掉，進入到另一個加密的信息儲存庫（非VCC）中，以便用戶日后預訂時調出。“攜程這次的數據泄露事件，不是信息儲存庫里的數據泄露了。而是因為攜程技術人員將用于處理用戶支付的服務接口開啟了調試功能，也就是說對預訂后臺的部分數據解密（包括CVV）進行排查技術上的問題，本來這些數據應該下載到本地日志服務器中（安全性極強，外界無法訪問），但這些數據卻被放在Web服務器中，可以說是不應該發生的低級錯誤。”該資深技術人士說。

□提醒

不要在不信任網站填寫核心信息

“中國黑客教父”龔蔚表示，攜程的本次系統漏洞是由一些小漏洞構成的，單看每一個小漏洞都不嚴重，但聯在一起就變成了“安全事故”。

“事實上，（網站存儲）CVV信息是強加密的，即便是黑客也不一定能破解。”龔蔚說，“黑客在盜取此類信息時需要滿足三個條件：加密碼可破解、長期記錄、漏洞沒有修復。”

龔蔚表示，第三方支付機構為了能夠記錄、追蹤、調試用戶的購買環節，會在程序運行過程中記錄用戶的個人信息，這是正當行為，但是這樣的信息不是每個人都能看到，而且需要加密。一般調試過程都是在虛擬的條件下完成的，并在開發或調試完成之后、上線之前檢查所有數據端口是否關閉。

“在線填寫的個人信息并不是都加密的，像姓名、身份證號就是明文，銀行卡號、CVV碼就會強加密。”龔蔚說，“之所以一部分個人信息不加密，是出于資源使用效率和用戶體驗的考慮，加密要消耗系統資源，并且還需要解密、還原的過程，這樣使用起來程序繁多、速度很慢。”

龔蔚建議，企業一定要有安全意識，不能忽略小漏洞。而作為消費者，在選擇購買支付網站、填寫個人信息時一定要謹慎。“當提交含有身份證號、銀行卡號、密碼等核心個人信息時，一定不要提交給不信任的網站。一般來說，知名的大網站技術相對成熟，不會出現黑客在網站中直接加入代碼，獲取用戶信息的現象。而諸如小的代購網站，安全性就降低很多。”

此外，龔蔚表示，除非必要，否則不要使用真實的身份，能使用虛擬身份就盡量使用，這樣可以減少個人信息泄露。“在網上支付的時候一定要慎重，最好給銀行卡設置網購限額、支付短信通知等安全等級保護，一旦銀行卡被盜用，可以立刻發現，減少損失。”

□建議

監管部門需強力介入

盡管攜程網及時回應了公眾質疑，但公眾的擔憂似乎并未消減。廣州一家外貿公司的陳小姐是攜程網的忠實用戶：“攜程網承諾，未來如果因安全漏洞引起用戶損失，將承擔全部責任并給予賠付。如何界定損失，企業說了算嗎？”陳小姐很疑惑。

公開信息顯示，到事發為止所有的調查和損失認定工作均由攜程網一方進行，并未引入第三方監管機構。業內分析人士坦言，目前國內還沒有相關立法對第三方支付機構獲取用戶信息進行規范管理。

此次攜程泄露用戶信息反映出在線支付行業不僅要加強行業自律、更需要監管部門強力介入，亟待通過出臺明文法規、進行合規性、合法性檢查的方式將在線支付納入到行業監管的大局之下。

中央財經大學銀行研究中心主任郭田勇認為，攜程泄露用戶信息事件暴露出部分第三方支付機構風險管理存在隱患，建議有關部門盡快出臺保護個人隱私的法律法規，同時對泄露客戶信息的機構進行處罰，嚴把第三方支付的“安全閥”。