攜程信用卡信息泄露事件昨日曝光后持續(xù)發(fā)酵，由于攜程用戶數(shù)量巨大，且在在線旅游業(yè)OTA行業(yè)樹大招風(fēng)，各路好漢番茄雞蛋一起招呼，使得此事件大有鬧劇化和狗血化趨勢。一些不明真相的群眾受到別有用心的煽動，開始對用卡安全產(chǎn)生擔(dān)憂，以下安全牛不代表任何一方利益，僅僅擺一擺幾個基本事實和問題：

　　一、在烏云平臺上曝光的攜程漏洞是什么?

　　攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能，將用戶的支付記錄用文本保存了下來。同時因為保存支付日志的服務(wù)器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意黑客讀取。

　　謂遍歷通常是指沿著某條搜索路線，依次對樹中每個結(jié)點均做一次且僅做一次訪問。這一被歸類為“敏感信息泄露”的漏洞，被指可能導(dǎo)致大量攜程用戶的信息曝光，包括：持卡人姓名身份證、銀行卡號、銀行卡CVV碼、6位卡Bin等非常敏感的內(nèi)容。

　　二、漏洞產(chǎn)生的原因，是開發(fā)環(huán)節(jié)安全管理事故?

　　關(guān)于漏洞產(chǎn)生的原因，攜程官方的解釋為：技術(shù)開發(fā)人員為了排查系統(tǒng)疑問，留下了臨時日志，因疏忽未及時刪除。不過MediaV公司CTO胡寧通過微 博批評稱：“數(shù)據(jù)傳輸為明文，且線上竟長時間打開調(diào)試功能，導(dǎo)致系統(tǒng)日志中亦為明文，又未及時清理，所存儲的服務(wù)器還有安全漏洞”。

　　而據(jù)騰訊科技報道，知情人士透露攜程此次用戶信息泄露事件可能是無線研發(fā)推進過快而變相導(dǎo)致的。

　　某互聯(lián)網(wǎng)上市公司CTO接受媒體采訪時表示，不管是App還是Wap或Web，都只是產(chǎn)品的前端表現(xiàn)形式，所調(diào)用的數(shù)據(jù)源必然只有一個。新產(chǎn)品的上線流程一 般是 “開發(fā)機——內(nèi)網(wǎng)測試機——發(fā)布員發(fā)布到外網(wǎng)”，每個環(huán)節(jié)都有QA測試，但在緊急或意外情況下，程序員會臨時去外網(wǎng)修改產(chǎn)品，這么做非常危險，因為跳過了 控制流程、跳過了發(fā)布員(跟產(chǎn)品開發(fā)不是一撥人)。

　　攜程是上市公司，應(yīng)該有非常嚴格的控制，該CTO猜測是不小心把沒有過濾好的內(nèi)網(wǎng)代碼目錄發(fā)布到外網(wǎng)了。如果是這種發(fā)布錯誤，問題并不嚴重，也就是版本控制不力——但如果是有員工跳過流程直接修改，就是特大問題，因為這意味著產(chǎn)品失去了對各環(huán)節(jié)和安全的控制點。

　　三、漏洞的性質(zhì)：是安全漏洞還是違規(guī)操作?

　　正如明朝萬達董事長王志海所言：“攜程用戶信用卡及信息泄漏事件，攜程旅 行網(wǎng)回復(fù)避重就輕，有漏洞能理解，信息不加密也可只算不重視用戶隱私，重點是為什么要違規(guī)記錄用戶信用卡的cvv?作為號稱經(jīng)過PCI認證的知名電商不應(yīng)該不知道這是違法行為吧?”

　　至于攜程是否違規(guī)，或者具體說是否違反所謂PCI行規(guī)，目前看還不是問題的重點，因為合規(guī)也未必就能保證數(shù)據(jù)安全。(參看第五條)

　　四、漏洞真的修補了?

　　關(guān)于此次信用卡信息泄露漏洞，攜程官方的說法是：“經(jīng)攜程排查，僅漏洞發(fā)現(xiàn)人做了測試下載，內(nèi)容含有極少量加密卡號信息，共涉及93名存在潛在風(fēng)險的攜程用戶，而且攜程已經(jīng)修補了有關(guān)漏洞”。

　　攜程對數(shù)據(jù)泄露損害范圍判斷的依據(jù)是“經(jīng)過排查，僅漏洞發(fā)現(xiàn)者做了測試下載”。真實情況如果真的如攜程所言，那么此次事件的實際數(shù)據(jù)泄露范圍相比攜程的用戶數(shù)量來說可謂微乎其微。

　　但問題的可怕之處在于，雖然攜程宣稱已經(jīng)第一時間修補漏洞，但是中國互聯(lián)網(wǎng)的“攜程們”擅長亡羊補牢式安全措施，包括所謂“盜刷賠付”，“頭痛醫(yī) 頭，腳痛醫(yī)腳”并不能從根本上解決其安全開發(fā)、安全管理、安全意識等多個環(huán)節(jié)長期存在的制度性“漏洞”，而這個根本性問題不解決，更嚴重的安全事故幾乎不 可避免。

　　五、PCI合規(guī)是救命稻草?

　　攜程安全漏洞曝光后很多技術(shù)流大V(當然也有不少來自攜程的競爭對手)指責(zé)攜程沒有取得PCI DSS(指支付卡行業(yè)數(shù)據(jù)安全標準)認證資質(zhì)。但實際上，由Visa、萬事達和美國運通等信用卡企業(yè)制定的PCI-DSS標準規(guī)范根本無法應(yīng)對今天的信息 安全新形勢，例如美國第四大零售商Target去年12月創(chuàng)紀錄地泄露了1.1億美國人的消費信息(包括4000萬信用卡信息)，而受到黑客攻擊的 Target和Neiman Marcus兩家零售商都是PCI DSS標準的合規(guī)企業(yè)。Marcus的CIO在接受媒體采訪時指出，Marcus采取了比PCI標準更高的安全措施，但依然沒能阻止其用戶信用卡數(shù)據(jù)被黑 客竊走并盜刷。

　　Garnter安全分析師Avivah Litan曾指出：“Targtet信用卡數(shù)據(jù)泄露表明，PCI標準中沒有任何一條內(nèi)容，能夠幫助Target偵測并組織黑客的入侵。”

　　而PCI顧問James Huguelet則指出：PCI標準最大的安全問題在于，該標準雖然要求對靜態(tài)數(shù)據(jù)加密，但是并不要求企業(yè)對數(shù)據(jù)傳輸加密，也就是在整個交易流程鏈中，數(shù)據(jù)都未被要求加密。(這也就是攜程為什么在漏洞出現(xiàn)后依然一口咬定自己遵守了PCI規(guī)范的原因，準確講攜程確實遵守了一個有著嚴重安全缺陷的規(guī)范，從這一點來看，PCI合規(guī)并非一件多么光彩的事情)