3月22日，18點(diǎn)18分。一個(gè)編號(hào)為54302的漏洞報(bào)告，被曝光在互聯(lián)網(wǎng)安全問題反饋平臺(tái)烏云(wooyun.org)之上，發(fā)布者是烏云的核心白帽子黑客“豬豬俠”。這份報(bào)告表明，攜程的一個(gè)漏洞會(huì)導(dǎo)致大量用戶銀行卡信息泄露，而這些信息可能直接引發(fā)盜刷等問題。

　　這一消息很快通過媒體廣為流傳，關(guān)注度甚至超過稍后曝出的另一條新聞《華為總部服務(wù)器遭美國安局入侵》，也超出此前曝光一些看似也很嚴(yán)重的漏洞。

　　一個(gè)讓用戶換卡的漏洞

　　這個(gè)漏洞是怎么回事兒?據(jù)介紹，由于攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能，將用戶的支付記錄用文本保存了下來。同時(shí)因?yàn)楸４嬷Ц度罩镜姆?wù)器未做校嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意黑客讀取。

　　所謂遍歷通常是指沿著某條搜索路線，依次對(duì)樹中每個(gè)結(jié)點(diǎn)均做一次且僅做一次訪問。這一被歸類為“敏感信息泄露”的漏洞，被指可能導(dǎo)致大量攜程用戶的信息曝光，包括：持卡人姓名身份證、銀行卡號(hào)、銀行卡CVV碼、6位卡Bin等非常敏感的內(nèi)容。

　　攜程官方的解釋為：技術(shù)開發(fā)人員為了排查系統(tǒng)疑問，留下了臨時(shí)日志，因疏忽未及時(shí)刪除。不過MediaV公司CTO胡寧還是通過微博批評(píng)稱：“數(shù)據(jù)傳輸為明文，且線上竟長時(shí)間打開調(diào)試功能，導(dǎo)致系統(tǒng)日志中亦為明文，又未及時(shí)清理，所存儲(chǔ)的服務(wù)器還有安全漏洞”。

　　有攜程的同行對(duì)新浪科技表示，攜程在無線端有過不是非常安全的做法，這種方式雖然便于用戶操作，但存在一定的安全風(fēng)險(xiǎn)。而攜程內(nèi)部人士對(duì)新浪科技表示，這是一次“意外”的安全事故，攜程并非有意保存用戶的相關(guān)信息，出現(xiàn)這樣的問題攜程內(nèi)部也覺得不可理解。

　　用戶們更是不可理解。這次漏洞外泄的信息，意味著用戶銀行卡的幾乎全部信息都存在曝光風(fēng)險(xiǎn)，有了這些信息，信用卡被盜刷可能變成一件易如反掌的事情。

　　面臨最大風(fēng)險(xiǎn)的，是來自于近期曾經(jīng)通過攜程無線端有過交易行為的用戶。攜程并沒有公布漏洞存在的時(shí)間和范圍，所以規(guī)避風(fēng)險(xiǎn)的最佳辦法，就是立即聯(lián)系銀行換卡。

　　據(jù)招商銀行信用卡客服透露，這幾天有很多用戶已就攜程漏洞問題致電咨詢，其中大部分已經(jīng)采取立即注銷原有信用卡、另行開通新卡的避險(xiǎn)措施。招商銀行工作人員介紹說，重新制作信用卡需要兩天時(shí)間，加上遞送大約需要一周時(shí)間，這期間信用卡無法使用。#p#

　　關(guān)鍵事項(xiàng)：CVV與PCI

　　面臨泄露風(fēng)險(xiǎn)的信息中，CVV更是成為關(guān)注的焦點(diǎn)。

　　CVV(Card Verification Value)也被稱作CVC(Card Validation Code)，資料顯示，這部分信息是由卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字，一般寫在卡片磁條的2磁道用戶自定義數(shù)據(jù)區(qū)里面。CVV和CVC的生成方法是一樣的，只是叫法不一樣而已。

　　這個(gè)信息被用來在交易時(shí)進(jìn)行核對(duì)。CVV在聯(lián)機(jī)交易(刷卡)的時(shí)候核對(duì)，而在不實(shí)際刷卡的交易過程中，這個(gè)信息更是有著決定性的作用。不過值得詳細(xì)說明的是，我們通常在不刷卡的支付過程中，需要提供的信息其實(shí)叫做CVV2，也就是卡片背面簽名檔旁邊的三位數(shù)。

　　作為敏感信息，CVV2在互聯(lián)網(wǎng)支付等不刷卡的交易中，有著明確的處理規(guī)定。

　　根據(jù)中國銀聯(lián)發(fā)布的《銀行卡收單機(jī)構(gòu)帳戶管理標(biāo)準(zhǔn)》，各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期。磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼、卡片有效期只用于完成銀聯(lián)卡交易，不能用于除此之外的任何其他用途。

　　多家提供在線支付的服務(wù)商也對(duì)新浪科技表示，在實(shí)際操作中會(huì)根據(jù)相關(guān)規(guī)定，不會(huì)對(duì)用戶的相關(guān)信息違規(guī)存儲(chǔ)。與CVV相比，另一個(gè)讓攜程面臨指責(zé)的英文縮寫是PCI。

　　PCI，在金融業(yè)內(nèi)通常代指支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，即PCI-DSS(Payment Card Industry Data Security Standard)。制定PCI目的是為了優(yōu)化信用卡，借記卡和現(xiàn)金卡交易的安全，保護(hù)持卡人的個(gè)人信息，已防被他人利用。

　　在此次泄露事件中，有人指責(zé)攜程不具備符合PCI標(biāo)準(zhǔn)的資質(zhì)，并將此歸因于攜程在流程上出問題的原因。VeryCD創(chuàng)始人戴云杰就公開質(zhì)疑攜程：CVV2屬于不應(yīng)存儲(chǔ)的敏感數(shù)據(jù)。而有獲得PCI資質(zhì)的攜程同行告訴新浪科技，這個(gè)資質(zhì)申請(qǐng)并不容易，能通過也要耗時(shí)一年。

　　攜程究竟有沒有PCI資質(zhì)呢?官方給出的回應(yīng)是：攜程的做法，符合PCI-DSS規(guī)定。攜程將進(jìn)一步嚴(yán)格按照PCI-DSS的監(jiān)管要求執(zhí)行。#p#

　　93通電話與1個(gè)用戶

　　當(dāng)然關(guān)于PCI的討論并不是當(dāng)務(wù)之急，也有獲得PCI資質(zhì)也同樣出事的反例。對(duì)于普通用戶而言，最核心的問題是：我究竟安不安全?

　　詳細(xì)信息披露的缺乏，讓規(guī)模龐大的攜程用戶群體惴惴不安。官方的說法是：“經(jīng)攜程排查，僅漏洞發(fā)現(xiàn)人做了測(cè)試下載，內(nèi)容含有極少量加密卡號(hào)信息，共涉及93名存在潛在風(fēng)險(xiǎn)的攜程用戶”。攜程將在23日逐個(gè)通知這93名用戶，沒有接到電話則表明“是安全的，無需擔(dān)心”。

　　93這個(gè)規(guī)模，相對(duì)于攜程只能算是極少數(shù)。一位22日在攜程平臺(tái)有過交易的用戶對(duì)新浪科技表示，并沒有收到來自攜程方面的電話通知。然而和另幾位近期有過攜程交易的用戶一樣，他們都對(duì)個(gè)人信息的安全表達(dá)了深度的擔(dān)憂，對(duì)攜程的信任感也降至最低。

　　實(shí)際上，新浪科技取得聯(lián)系的攜程用戶中，大部分已經(jīng)采取了換卡的處理方式。

　　好消息是截至目前，還沒有公開的信息顯示有攜程用戶因?yàn)檫@一漏洞遭遇損失。而不好的消息是，攜程信息泄露的情況，或許在更早之前已經(jīng)造成傷害。

　　廣西易搜科技CEO嚴(yán)茂軍就是一個(gè)案例。按照這位攜程鉆石卡會(huì)員的描述，今年2月25日一早，他的手機(jī)相繼出現(xiàn)多條信用卡消費(fèi)的短信提示，有的以美元結(jié)算、有的以英鎊結(jié)算、有的以歐元結(jié)算，這幾筆扣款合計(jì)金額不到人民幣兩萬元。

　　幾番追究之后，嚴(yán)茂軍把懷疑對(duì)象鎖定在攜程身上，據(jù)他的描述只有和攜程賬號(hào)綁定的三張信用卡，在2月25日那天出現(xiàn)了十幾筆盜刷外幣的事件，而其另外的三張信用卡則相安無事。不過嚴(yán)茂軍所提出的質(zhì)疑，沒有其他更為嚴(yán)密的證據(jù)能夠證明，也很難讓攜程就此承認(rèn)。

　　“我是這幾家銀行白金客戶，擁有72小時(shí)賠付，如果不是我的責(zé)任被盜刷，我無須自己支付，由白金保險(xiǎn)承擔(dān)”，在與新浪科技溝通時(shí)嚴(yán)茂軍說攜程的安全漏洞或許成為銀行的借口，他擔(dān)心一旦出現(xiàn)問題會(huì)有很多非白金的用戶需要自行承擔(dān)損失。

　　一位銀行業(yè)內(nèi)人士也對(duì)新浪科技表示，出現(xiàn)盜刷其實(shí)很難追究責(zé)任。#p#

　　對(duì)話白帽黑客豬豬俠

　　出現(xiàn)與信用卡有關(guān)的漏洞，自然會(huì)聯(lián)想到與黑客有關(guān)的地下產(chǎn)業(yè)鏈。

　　網(wǎng)上關(guān)于黑客以及黑客背后暴利生意的報(bào)道，多年以來一直廣為流傳。國內(nèi)外與黑客有關(guān)的信息盜取事件也層出不窮，例如2011年12月中國最大程序員網(wǎng)站CSDN報(bào)案稱遭遇黑客攻擊、600余萬用戶信息被泄露;去年12月，美國第三大零售商Target的4000萬顧客信用卡數(shù)據(jù)被盜。

　　知名互聯(lián)網(wǎng)信息安全專家sunwear在新浪微博中表示，黑客圈做信用卡產(chǎn)業(yè)很成熟，歐美臺(tái)日等都是黑客的目標(biāo)，很多網(wǎng)站都會(huì)儲(chǔ)存信用卡的卡號(hào)、CVV、到期日等信息，渠道太多攜程只是冰山一角，雖然很多數(shù)據(jù)是加密或隱藏信息但不一定好使。

　　他還放出一張某黑客位于荷蘭的服務(wù)器中的信息截圖，“其中的信用卡資料來自中東某航空公司和幾個(gè)臺(tái)灣網(wǎng)站，總量在700萬條左右，按照黑客圈價(jià)格歐洲的卡一張可以做出幾百塊，你們自己想利潤吧。不過我看到時(shí)數(shù)據(jù)已經(jīng)放那一年里，早被洗過了”。

　　不過并不是所有的黑客都從事這樣的生意。黑客中有一類被稱為白帽黑客，他們主要利用自己的技術(shù)測(cè)試網(wǎng)絡(luò)和系統(tǒng)的性能，并不通過這種方式牟利。

　　這次披露攜程漏洞的，就是烏云平臺(tái)的核心白帽黑客豬豬俠，在微博上他的ID是一串英文名，而他五位數(shù)的QQ使用的又是另一個(gè)三字中文名稱。豬豬俠有著一串驕人的戰(zhàn)績，被他發(fā)現(xiàn)漏洞的企業(yè)包括：攜程、騰訊、優(yōu)酷、網(wǎng)易、盛大……僅在烏云披露的漏洞數(shù)量已達(dá)125個(gè)。

　　新浪科技問：“你為什么能發(fā)現(xiàn)這么多漏洞”。

　　豬豬俠回答：“產(chǎn)品經(jīng)理為了產(chǎn)品的易用性，會(huì)收集各種數(shù)據(jù)來改進(jìn)產(chǎn)品體驗(yàn)”。

　　在交流中，豬豬俠似乎感受到了某種外在的壓力，他對(duì)新浪科技直言近期并不太想針對(duì)攜程漏洞一事發(fā)表過多的評(píng)論，而且目前已經(jīng)有相關(guān)部門介入此事。此外，他另外在微博上表示：目前本人已經(jīng)將安全測(cè)試涉及到的日志信息徹底刪除， 攜程也已經(jīng)及時(shí)修復(fù)漏洞。

　　對(duì)于攜程聲稱提供獎(jiǎng)勵(lì)一事，豬豬俠說他也沒有當(dāng)真。實(shí)際上，攜程漏洞這件事被關(guān)注的程度，并不在豬豬俠的意料之內(nèi)，他事后總結(jié)說可能是因?yàn)檫@個(gè)漏洞直接與錢掛鉤。

　　“真正應(yīng)該火的是這個(gè)漏洞”，豬豬俠給了新浪科技一個(gè)鏈接：

　　那是一個(gè)3月21日，14點(diǎn)10分發(fā)布在烏云平臺(tái)，一個(gè)編號(hào)為54204的漏洞報(bào)告。這份報(bào)告顯示，騰訊QQ客戶端某默認(rèn)安裝空間存在嚴(yán)重安全缺陷，黑客可遠(yuǎn)程獲取任意好友的ClientKEY;結(jié)合另外一個(gè)漏洞，即可繞過騰訊單點(diǎn)登陸系統(tǒng)的IP訪問限制，登錄好友的全線QQ業(yè)務(wù)系統(tǒng)。

　　包括QQ空間、QQ相冊(cè)、QQ郵箱、騰訊微博等。顯然這中間隱藏著更大的隱私風(fēng)險(xiǎn)，至截稿時(shí)，新浪科技就此咨詢騰訊方面尚未獲得回應(yīng)