关注科技杂谈，洞析科技大事

中国通信行业影响力最大的自媒体

订阅请直接搜索公众号：keji_zatan

文 / 互联网信息安全（intersafety）

　　2014年3月22日，携程网被曝出违法违规收集并保存用户信用卡敏感信息，并因服务器漏洞致使信息泄漏，引起大量讨论。但类似企业过度收集用户个人信息却并非孤案，尤其是移动互联网不透明、不自由的环境下，用户信息对企业而言几乎是完全透明、开放的。

　　但无论出于何种目的，企业都有责任保护其收集的用户信息安全，但去年以来我国曝出多起大规模互联网泄密事件，说明企业责任的缺失，也表明我国在个人信息保护领域监管的缺失。

　　一、事件过程回顾

　　3月22日

　　18:18漏洞报告平台乌云披露携程网存安全漏洞，用户支付接口开启“调试模式”，用户向银行验证信用卡信息的日志数据被保存；而保存数据的服务器存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

　　简单而言就是：携程保存了用户支付数据，涉及用户姓名、身份证及银行卡类别、卡号、CVV码、6位Bin码；但因保存数据的服务器存在漏洞，这些信息可被骇客任意获取。

　　21:44携程微博回应称，已展开技术排查，并进行了弥补工作，没有用户因此造成财产损失，并向漏洞发现者表示感谢。

　　3月23日

　　07:11携程发布声明，称已修复漏洞，用户数据未扩散；并向银行核实，无用户信用卡盗刷情况，未来若引起用户损失，携程负责赔偿。

　　14:22携程更新声明，称技术开发人员为排查系统疑问保留用户日志信息，因疏忽未删除遭泄露，共涉及93名用户。

　　二、携程错在哪儿

　　（1）保存用户支付信息

　　早在2010年，携程与多家银行达成无卡支付服务（Card Not Present）协议。根据协议，若用户曾在携程网使用过信用卡，同意携程网保留卡号和有效期等信息；在用户下次预定时只需提供信用卡卡号后4位，携程网就会根据其授权信息执行支付，出于安全考虑，携程会要求用户额外提供CVV码加以验证。

　　这种支付方式，无需用户输入支付密码，且CVV码也被携程保存，已多次受到用户和媒体的质疑，如：

　　我国银联规定，收单机构系统不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。携程过度收集信用卡信息则违反了银联规定。对此，携程回应称其已通过国际标准PCI-DSS认证，表明国际金融机构对携程网安全保密能力的认可。而事实上，PCI-DSS明确规定不能明文保存用户信息、不可保存CVV码等敏感信息，携程的做法也违反了这一规定。此外，携程由人工客服获取用户CVV码并录入，而非机器输入，也是用户卡片信息潜在泄露源。

　　（2）明文保存密码

　　任何网站的用户密码都应当是经过不可逆的加密保存，如密码“123123”加密保存后可能是“SDF23KLFAS2323KK4”之类的暗码。如果携程此次是将CVV加密保存，那么就算是被检查出有漏洞，也不会有太大危险。

　　此前，我国已发生多起互联网企业明文数据库泄露用户隐私的案例，如2011年CSDN、天涯被连续曝出明文密码泄露，携程似乎并未从此吸取应有的教训。

　　（3）产品研发流程控制失当

　　这次的携程安全漏洞因无线部门在手机APP产品调试过程中，保存了日志并在服务器开了目录遍历导致。互联网产品研发，所调用的数据源只有一个，新产品的上线都要经过QA测试，并有严格的流程规定。

　　作为上市公司，携程应该也有相应控制，但此次安全若因开发人员没有按照严格流程执行所致，则就意味着产品失去了对各环节和安全的控制点；哪怕开发人员流程合规，其安全意识不足也是不争的事实。

　　三、携程是否会受罚？可能并不会！

　　（1）信用卡信息泄露靠受害者自我举证

　　2月，媒体报道，携程钻石卡会员严先生与携程账号绑定的信用卡多次被盗刷，但因提供不了严密证据，携程方面认为自己的系统完全没问题，并未承认这些损失，且至今没有明确说法。

　　此次漏洞披露后，携程网做出赔付的承诺，但这并不可靠。正如严先生一样，信用卡用户几乎无法举证信息泄露与携程有关。现在携程用户信用卡没有被盗刷，但若黑客将泄露的信息保存起来，一段时间后再实行盗刷，届时原因更难判断，银行也会确认是持卡本人执行支付操作。如，中国国内类似网银盗窃案，银行无一例外均指责用户未妥善保管密码。此次事件的信用卡用户若坚持向携程网索赔，情形不容乐观。

　　（2）携程并非第三方支付机构，银联无法按此标准惩处

　　携程虽然违反了银联不得存储用户敏感信息的规定，但“犯案”多年并未得到处罚。中国银联只是一家银行卡组织，尽管它实际上垄断了中国的信用卡相关业务，但其标准在正式意义上既没有法律效力，也没有行政约束力。更重要的是，银联管理标准并没有对违反标准的罚则。

　　此外，中国央行发布的《银行卡收单业务管理办法》规定，收单机构不得存储银行卡敏感信息，且应采取措施防止其特约商户和外包服务机构存储敏感信息。但其处罚规定，只适用于收单业务的支付机构未按规定建立交易和信息安全管理等制度的，才会被罚款。而携程网是商户，并非第三方支付机构。

　　四、国外：多重保障机制

　　（1）网民安全意识强，注重网站声明

　　在国外，只要涉及敏感用户隐私的网站，都需要一个非常复杂的声明：绝不会存储不该存储的信息，也不会向用户询问隐私信息（反诈骗提醒）。而我国网民的安全意识尚不足，很多用户上网时，并不会较真网站声明，而采取了默认的信任。

　　携程收集信用卡信息，过去几年多次被报道，但每次都未引起过多重视，直至此次漏洞发现。而且，企业过度采集个人隐私信息的情况并不是孤案，相反却是十分普遍。尤其在移动互联网不透明、不自由的现状下，用户信息对移动应用而言，几乎是不设防、完全透明的。但多数用户并没有真正关心过自己的“信息去哪儿”。

　　（2）信用卡公司与金融机构联合制定标准

　　在国外，身份窃取或信用卡诈骗都是重罪，为了预防和打击犯罪，信用卡公司和金融机构每年需投入大量经费，联合治理网络支付安全。其中最著名的是 PCI-DSS 标准和信用卡3D验证，其中PCI-DSS适用于预防信息泄露，3D验证是防止盗取信息者牟利。我国银联也制定有相应规定，禁止企业存储用户敏感信息，但遗憾的是，带头违反的多与银行业业务不合规有关。如携程与多家银行达成无卡支付服务（Card Not Present）协议，获得保留卡号和有效期等信息的权利，而小编认为这些权利应该由用户授权。

　　（3）对违规商户处以高额罚款

　　作为PCI-DSS标准的发起者之一，美国信用卡公司Visa规定，自2007年11月起，其美国商户及代理商必须使用不存储“信用卡敏感信息”的支付软件；若2008年9月30日前仍未达到PCI-DSS标准的合规要求，继续存储用户信用卡CVV码与Bin码等敏感信息，将处以每月2.5万美元的触犯。该措施实施后，PCI-DSS标准达标率迅速提升，Visa超过99%的二级以上商户已确认未存储敏感数据。

　　在英国，2013年7月，索尼公司因PSN服务数据于2011年4月大规模泄露，被数据保护监管部门罚款40万美元，他们认为“你掌握了如此多的支付卡和登录信息，保护用户数据安全将是优先工作。”

　　相较而言，我国银联虽有不得存储敏感信息的规定，但银行确与携程签订了授权存储的协议，对违反规定的机构尚无处罚措施，显然，Visa为美国用户提供的安全保障机制更可靠。

　　本周话题：信息安全

　　最近，微软XP停止服务、美国NSA监听华为、携程信息泄露等事件，正从不同层面折射出，中国的信息安全高危现状，或许，我们都是透明人。对此，你怎么看？

　　欢迎大家加入群组，参与讨论，交流思想、分享信息。仅限行业商端人士参与，参与方式：回复“申请入群”+所在单位+职务+真实姓名+联系方式（微信号码+手机号码），科技杂谈通过审核后，会添加入群。
‍　　也欢迎大家投稿或推荐优秀文章（推荐方法：1、直接发给本公众号；2、邮箱：ennwangyunhui@vip.163.com）

　　科技杂谈保护版权，推荐文章请注明推荐人身份‍、推荐理由‍与推荐来源，我们将与作者联系，取得授权后转载。‍

今日推荐：techweb

几年前，TechWeb是IT行业人士每天必看的行业信息集散地，各种正规消息之外，八卦消息的劲爆可谓IT路人皆知。微信时代，TechWeb曾经的火爆卷土重来，目前TechWeb公号已经成为新媒体、新技术、新商业的互动交流平台，传递互联网最新动态、重大科技新闻，每天都有精彩推送。

本文仅代表作者观点，科技杂谈授权刊登。

转载必须注明作者与科技杂谈，侵权必究。

科技杂谈文章，均同步发布于犀牛财经网。

已入驻搜狐新闻客户端，网易阅读客户端。

点击下方“阅读原文”直达犀牛财经网