業內(nèi)人士透露旅遊類網站在線支付方式更為(wèi)寬松

國(guó)內(nèi)網絡安全問題反饋平台——烏雲漏洞平台發布消息稱，由于攜程網系統存技術漏洞，用戶個人信息、銀行卡信息可(kě)能會遭洩露。業內(nèi)分析人士稱，攜程并沒有支付牌照，按規定不允許存儲用戶銀行卡信息，此次事件暴露出相關企業內(nèi)控機制方面的(de)短(duǎn)闆以及部分第三方支付機構風險管理(lǐ)存在隐患，建議有關部門盡快出台保護個人隐私的(de)法律法規，同時對洩露客戶信息的(de)機構進行處罰，為(wèi)在線支付把好“安全閥門”。

綜合京華時報記者廖豐平亦凡新華社電

□事件

交易網站違規存CVV碼

攜程将用于處理(lǐ)用戶支付的(de)服務接口開啓了調試功能，使部分向銀行驗證持卡所有者接口傳輸的(de)數據包直接保存在本地(dì)服務器，有可(kě)能被黑客所讀取。攜程沒有支付牌照，按照規定不允許存儲用戶銀行卡信息，尤其是CVV碼（又叫用戶識别碼，是銀行卡進行非面對面交易時用于确認用戶身份的(de)識别碼，作用類似于密碼）。而上述調試接口，通常是攜程需要和(hé)合作公司調試時才打開，數據包通常會有多種加密功能，即便被下載也很難破譯。

據了解，攜程合作的(de)銀行包括工商銀行、中國(guó)銀行、招商銀行、浦發銀行等十餘家，第三方支付機構包括支付寶、财付通、銀聯在線等。

攜程作為(wèi)納斯達克上市的(de)在線第三方支付企業，必須遵守《第三方支付行業數據安全标準》，其中明确規定了如(rú)何實施數據保護，以及哪些信息可(kě)以保存、哪些信息不能保存，CVV碼屬于不允許存儲的(de)敏感數據。

“交易網站存CVV碼，相當于小時工偷偷配了你家的(de)鑰匙，同時，他還知道(dào)關于你家所有的(de)信息。”新浪認證微博、汽車之家創始人李想說，“需要輸入CVV碼和(hé)存儲CVV碼是兩個概念。有些信息可(kě)以存，有些信息無論如(rú)何也不能存，攜程存了無論如(rú)何也不該存的(de)CVV碼，這相當于把你信用卡的(de)密碼存儲并洩露了。”

□揭秘

旅遊産品支付手段較“寬松”

烏雲曝出的(de)攜程支付漏洞事件讓不少人非常詫異：攜程為(wèi)什麽要保存信用卡的(de)CVV碼？記者調查發現，這跟旅遊産品預訂的(de)特性有關。

以機票(piào)和(hé)酒店為(wèi)代表的(de)旅遊産品，價格随着庫存、預訂時間實時變化。網購一(yī)張機票(piào)的(de)流程是，用戶查詢到一(yī)個航班以後，比如(rú)看到一(yī)張400元3折的(de)機票(piào)，用戶輸入乘機人姓名和(hé)身份證點擊下一(yī)步，然後完成支付，代理(lǐ)商在看到用戶完成支付後會憑借這個完整的(de)訂單進行出票(piào)。但用戶填寫信息需要一(yī)定時間，對網購熟悉的(de)用戶完成支付最快會花30秒，慢的(de)則需要1-2分鍾，在這過程中，此前的(de)3折票(piào)很可(kě)能已被航空公司取消或者變價，價格可(kě)能漲到了450元，這就出現了支付成功但不出票(piào)。

所以說并不是填寫完個人信息，點擊下一(yī)步票(piào)就預訂成功。如(rú)果消費者預訂時相關産品庫存和(hé)價格數據與實時情況相匹配，則預訂成功，相關款項也會支付出去(qù)。然而，當消費者的(de)預訂指令發出後，後台處理(lǐ)往往會出現各種情況，如(rú)庫存沒有了，或者價格漲了，這時候，預訂平台就會反饋消費者是否做(zuò)其他選擇或繼續預訂。為(wèi)了優化消費者的(de)體驗，對于在線旅遊網站而言，将消費者的(de)姓名、身份證、信用卡号、CVV碼等儲存起來，在這種情況下預訂反應機制會更靈活，後台系統訪問相關數據庫回轉機制的(de)頻率比買實體商品要高(gāo)。

第三方支付也存儲用戶信息

從技術上看，旅遊産品支付條件“更寬松”，預訂旅遊産品是不是比普通網購更不安全？一(yī)位資深技術人士告訴記者，事實上，包括第三方支付平台也會将消費者的(de)相關數據儲存起來。正規的(de)網購平台儲存數據後會進行加密，之後數據進入一(yī)個密封的(de)管道(dào)中，隻有和(hé)銀行對賬時，相關數據才會解密。

在預訂成功後，數據是如(rú)何“保存”下來的(de)呢(ne)？其實相關數據此時已在預訂後台被删掉，進入到另一(yī)個加密的(de)信息儲存庫（非VCC）中，以便用戶日後預訂時調出。“攜程這次的(de)數據洩露事件，不是信息儲存庫裏的(de)數據洩露了。而是因為(wèi)攜程技術人員将用于處理(lǐ)用戶支付的(de)服務接口開啓了調試功能，也就是說對預訂後台的(de)部分數據解密（包括CVV）進行排查技術上的(de)問題，本來這些數據應該下載到本地(dì)日志服務器中（安全性極強，外界無法訪問），但這些數據卻被放在Web服務器中，可(kě)以說是不應該發生的(de)低(dī)級錯誤。”該資深技術人士說。

□提醒

不要在不信任網站填寫核心信息

“中國(guó)黑客教父”龔蔚表示，攜程的(de)本次系統漏洞是由一(yī)些小漏洞構成的(de)，單看每一(yī)個小漏洞都不嚴重，但聯在一(yī)起就變成了“安全事故”。

“事實上，（網站存儲）CVV信息是強加密的(de)，即便是黑客也不一(yī)定能破解。”龔蔚說，“黑客在盜取此類信息時需要滿足三個條件：加密碼可(kě)破解、長(cháng)期記錄、漏洞沒有修複。”

龔蔚表示，第三方支付機構為(wèi)了能夠記錄、追蹤、調試用戶的(de)購買環節，會在程序運行過程中記錄用戶的(de)個人信息，這是正當行為(wèi)，但是這樣的(de)信息不是每個人都能看到，而且需要加密。一(yī)般調試過程都是在虛拟的(de)條件下完成的(de)，并在開發或調試完成之後、上線之前檢查所有數據端口是否關閉。

“在線填寫的(de)個人信息并不是都加密的(de)，像姓名、身份證号就是明文，銀行卡号、CVV碼就會強加密。”龔蔚說，“之所以一(yī)部分個人信息不加密，是出于資源使用效率和(hé)用戶體驗的(de)考慮，加密要消耗系統資源，并且還需要解密、還原的(de)過程，這樣使用起來程序繁多、速度很慢。”

龔蔚建議，企業一(yī)定要有安全意識，不能忽略小漏洞。而作為(wèi)消費者，在選擇購買支付網站、填寫個人信息時一(yī)定要謹慎。“當提交含有身份證号、銀行卡号、密碼等核心個人信息時，一(yī)定不要提交給不信任的(de)網站。一(yī)般來說，知名的(de)大網站技術相對成熟，不會出現黑客在網站中直接加入代碼，獲取用戶信息的(de)現象。而諸如(rú)小的(de)代購網站，安全性就降低(dī)很多。”

此外，龔蔚表示，除非必要，否則不要使用真實的(de)身份，能使用虛拟身份就盡量使用，這樣可(kě)以減少個人信息洩露。“在網上支付的(de)時候一(yī)定要慎重，最好給銀行卡設置網購限額、支付短(duǎn)信通知等安全等級保護，一(yī)旦銀行卡被盜用，可(kě)以立刻發現，減少損失。”

□建議

監管部門需強力介入

盡管攜程網及時回應了公衆質疑，但公衆的(de)擔憂似乎并未消減。廣州一(yī)家外貿公司的(de)陳小姐是攜程網的(de)忠實用戶：“攜程網承諾，未來如(rú)果因安全漏洞引起用戶損失，将承擔全部責任并給予賠付。如(rú)何界定損失，企業說了算嗎？”陳小姐很疑惑。

公開信息顯示，到事發為(wèi)止所有的(de)調查和(hé)損失認定工作均由攜程網一(yī)方進行，并未引入第三方監管機構。業內(nèi)分析人士坦言，目前國(guó)內(nèi)還沒有相關立法對第三方支付機構獲取用戶信息進行規範管理(lǐ)。

此次攜程洩露用戶信息反映出在線支付行業不僅要加強行業自(zì)律、更需要監管部門強力介入，亟待通過出台明文法規、進行合規性、合法性檢查的(de)方式将在線支付納入到行業監管的(de)大局之下。

中央财經大學(xué)銀行研究中心主任郭田勇認為(wèi)，攜程洩露用戶信息事件暴露出部分第三方支付機構風險管理(lǐ)存在隐患，建議有關部門盡快出台保護個人隐私的(de)法律法規，同時對洩露客戶信息的(de)機構進行處罰，嚴把第三方支付的(de)“安全閥”。