我不是專門搞安全的，只是因為跟不少安全行業(yè)的朋友比較熟，所以，幾乎是第一時間就看到攜程在烏云上的漏洞信息了。之后順手在微信朋友圈轉(zhuǎn)了一條，然后過了一會兒發(fā)現(xiàn)這個事情發(fā)酵了。

[[110417]]

接著看到有不少朋友們在討論要不要換卡，有幾位對信息敏感的朋友已經(jīng)第一時間聯(lián)系了銀行申請了換卡。

再然后，已經(jīng)看到有人在朋友圈發(fā)布所謂的「攜程信用卡信息被盜」的內(nèi)容，多少令人哭笑不得。

諸多信息里，我的一位朋友發(fā)的信息，我個人認(rèn)為可信度比較高，就發(fā)了一條微博：

攜程的安全漏洞的小道消息「據(jù)說啊，是無線開了調(diào)試，存了日志，然后Web.config 開了目錄遍歷，才出的狀況，主要是手機 App 這塊出問題了。內(nèi)部人員說用 Web 版本的沒問題。」 用 Web 版本沒問題? 是不是這樣，自己拿主意吧。

如果這個信息是真的話，那么，開了調(diào)試功能開了多久? 日志有多大? 如果調(diào)試功能開得很短，那么不太可能那么巧被白帽子黑客發(fā)現(xiàn)。所以，我個人認(rèn)為時間恐怕夠長的了，問題是周六發(fā)生的，攜程這樣的公司不會有人周六加班調(diào)試吧，最最起碼一天以上吧，一天的時間會有多少業(yè)務(wù)量? 真的只有那么幾筆?

我不知道。

我之所以說「自己拿主意」，其實還是怕誤導(dǎo)別人，萬一我說沒必要換卡，別人信用卡被盜刷了怎么辦?

今天攜程的一位朋友微博上給我私信，讓我看一下攜程的公告并且給轉(zhuǎn)發(fā)一下。公告里說「經(jīng)攜程排查，僅漏洞發(fā)現(xiàn)人做了測試下載，內(nèi)容含有極少量加密卡號信息，共涉及 93 名存在潛在風(fēng)險的攜程用戶?！刮覠o法判斷這個信息的可信度，所以也不想轉(zhuǎn)發(fā)，因為這個公告很明顯還有其他問題。

看起來，攜程是沒通過 PCI DSS 認(rèn)證(至少我找不到攜程通過認(rèn)證的信息)。PCI DSS 這個縮寫的全稱是: Payment Card Industry Data Security Standard，這是一個全球通用的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，國內(nèi)的幾個旅游服務(wù)網(wǎng)站，我只看到一家是通過了這個認(rèn)證的。好了，科普就到這里，如果好奇的話，請自行搜索即可。攜程公告里說「攜程用戶支付卡信息…均按照國際信用卡支付安全標(biāo)準(zhǔn)要求」，其實是沒什么說服力的，至少你這次是出了問題的啊，這怎么說?

有些企業(yè)對客戶信用卡信息的處理，大概是有其歷史問題，比如通過電話客服的時候，我不止一次遇到過有某家銀行客服要我提供全部的信用卡卡號，和 CVV。你索取我信用卡卡號就行了，要我的 CVV (信用卡安全碼，Card Security Code) 做什么? 我怎么知道你會不會把我的信用卡信息泄露出去? 一般遇到這樣的情況，我就拒絕提供。放心，客服業(yè)務(wù)流程一樣能走通。別問我哪家銀行了，就是號稱服務(wù)好，但其實經(jīng)常給用戶發(fā)垃圾信息的那一家。此外，以前我還遇到在一些飯店吃飯，刷卡的時候，收銀員把我的信用卡卡號碼刮在小票上去，說是和銀行活動驗證用。其實銀行的活動只需要驗證后幾位數(shù)字就可以，你保留全部信息做什么? 作為個人用戶，對自己銀行卡的信息最多也只能敏感到這樣了。又不能不用信用卡。

一般來說，如果商家沒有能力去保護用戶信用卡信息，最好的辦法就是盡可能的不要存儲它們。如果你看過《掘金黑客》那本書，里面的一個細(xì)節(jié)就是，黑客們專門去入侵一些安全意識薄弱的線下商家的收銀系統(tǒng)，把信用卡信息拿走。

攜程這次的應(yīng)對，總體上還是過得去的。比預(yù)期的要好，畢竟這是一家不那么互聯(lián)網(wǎng)化的公司。如果要提不足之處，我想說其實攜程沒必要自己去弄一個安全應(yīng)急響應(yīng)中心，弄了也沒有誰敢去你那里提交漏洞，萬一被你抓了咋辦? 最好的辦法就是去烏云網(wǎng)站跟白帽子黑客們有效互動，比如創(chuàng)建正式的官方帳號，然后最起碼要技術(shù)總監(jiān)級別以上最好是 CTO (如果有的話) 去訂閱最新安全信息，這樣才可能有效地應(yīng)對突發(fā)情況。對了，好好感謝一下發(fā)現(xiàn)漏洞的白帽子黑客。 我覺得這次事件對攜程來說，這已經(jīng)是最好的結(jié)果了。

另外一件比較重要的事兒，盡早通過 PCI DSS 認(rèn)證吧。

聲明：我手里目前不持有攜程股票。

烏云(WooYun.org)是國內(nèi)最大的第三方漏洞報告平臺，這是個很重要的網(wǎng)站。如果你是互聯(lián)網(wǎng)公司的技術(shù)負(fù)責(zé)人，最好早點去關(guān)注烏云的信息。對安全不重視，到頭來吃虧的還是自己，我只能說到這里了。