93名用戶被攜程通知更換信用卡之後, 攜程網稱該公司的支付是安全的。
然而,就在攜程表示用戶持卡人的支付信息,如姓名、身份證、銀行卡號、卡CVV碼、6位銀行卡BIN均按照國際信用卡支付安全標準要求經過加密處理,攜程對所有用戶的信息安全全權負責之時,經濟觀察網記者23日親自用信用卡體驗了一次“盜刷”:僅向攜程提供信用卡卡號和信用卡有效期,就能成功用信用卡替別人訂了票。在此次訂票過程中,攜程工作人員從未核實過信用卡用戶的姓名和CVV碼信息。
盜刷,成功!
3月23日,經濟觀察網記者借用別人的手機號撥打攜程的電話4008206666,一位服務專員384409接待了記者。
記者表示,要訂從上海去廣州的機票,這位專員用記者借來的手機號註冊了攜程會員,姓名是被訂票的乘機人D的。
攜程專員向記者問了乘機人D的姓名、身份證後,在攜程專員的幫助下選好航班,準備訂票。
在付款的時候,攜程的服務專員將電話轉至系統,在記者輸入了一個招商銀行的卡號後,電話轉回服務專員,服務專員訊問了該信用卡的有效期。(注意:記者沒有提供信用卡最後三位的數字!也沒有提供信用卡主人姓名。)
服務專員表示:如果在30分鐘之內支付成功,就可以了。因為銀行要審核!
很快,結果就出來了:記者本人的手機幾分鐘之內就收到了信用卡被“預授權”的信息。
1490元錢被“預授權”!而被刷的信用卡並不是乘機人的!記者所給出的招商銀行信用卡實際上已經是一張2013年年底剛剛更換的新信用卡,此前在攜程上的最後一次訂票記錄為2013年3月。這意味著,招商銀行沒有核實CVV碼的情況下,審核通過了這筆交易。(更換新信用卡時,卡號不變,但CVV碼會變。)
在整個訂票過程中,攜程的服務專員從未核實過打電話的記者的個人信息,沒有核實過註冊手機的機主是否為撥打電話訂票的人,也沒有核實過,打電話的人是不是乘機人。
這意味著:一、在攜程上通過刷陌生人招商銀行信用卡訂機票,只要卡號和信用卡有效期兩個信息;二、攜程並未核實信用卡是否是乘機人本人的;三、攜程並未採取任何措施向信用卡本人徵詢是否同意這筆交易。
23日晚,攜程副總裁湯瀾對記者此次購票過程中產生的問題解釋是,有的銀行需要6個信息才能刷卡,但是招商銀行可能只需要兩個信息就能扣款。具體流程他也不熟悉,需要等待重聽購票時的錄音。
24日,攜程公共事務部閆鑫回復經濟觀察網記者:“信用卡的MOTO支付通道(即信用卡遠程收款系統MOTO pay全稱Mail Order and Telephone Order payment,主要為商家與消費者解決非面對面交易的支付問題),客人大多只需要提交完整卡號,有效期及校驗碼即可用於支付,此方式符合國際慣例並且是國際上通用的網絡支付方式;國內電商如果是採用MOTO支付通道,都是按此方式。”
“部分信用卡發卡銀行為了提高支付成功率及客人感受,僅需輸入卡號及有效期即可支付,此並非源於攜程的要求。” 閆鑫回復稱。
記者用自己的手機撥打攜程客服時,得到的答案是,只要能證明是攜程這方面洩露信息所導致的用戶損失,攜程負責賠償。
但問題在於,即便是攜程洩露的信息導致了用戶損失,用戶也幾乎沒有能力舉證證明這一點,因為現在能夠獲得用戶信用卡信息的渠道有很多。
24日上午,記者撥通招商銀行信用卡服務中心,服務專員稱,此前只接到21日、22日兩天內用戶的危險排查,目前沒有接到電話的可以放心使用。但當經濟觀察網記者將23日的訂單情況如實反應給招商銀行信用卡客戶服務中心時,服務專員表示要將此事轉到相應部門再查詢才能回復。
如果記者要想凍結(保護)信用卡的使用,是可以的。但如果每年刷卡不足6次,則需要付年費;如果要注銷這張信用卡,也需要交納60元。
那攜程的安全是技術問題,還是流程問題?烏雲上的曝光是“第一次”,還是“又一次”?
烏雲
事情發生在3月22日,著名網站漏洞曝光平台“烏雲網”上,網名“豬豬俠”登出了“攜程某分站源代碼包可直接下載(涉及數據庫配置和支付接口信息)”以及“攜程安全支付日志可遍歷下載導致大量用戶銀行卡信息洩露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)”的兩條信息。
尤其是後面的漏洞類型屬於“敏感信息洩露”,危害等級為“高漏洞”,且“廠商已經確認”。
事情的過程是,由於攜程用於處理用戶支付的安全支付服務器接口存在調試功能,將用戶支付的記錄用文本保存了下來。同時因為保存支付日志的服務器未做校嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取。
所謂遍歷通常是指沿著某條搜索路線,依次對樹中每個結點均做一次且僅做一次訪問。這一被歸類為“敏感信息洩露”的漏洞,被指可能導致大量攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息外洩。
事情的解決辦法正如本文開頭所描述的那樣,當晚攜程很快就在其官方微博上回應稱,公司相關部門已經在第一時間展開技術排查,並在消息發布兩個小時內進行了漏洞彌補工作。
但人們關注的是,根據中國人民銀行發布的《銀行卡收單業務管理辦法》第28條規定,收單機構不得以任何方式存儲銀行卡磁道信息或芯片信息、卡片驗證碼、卡片有效期、個人標識碼等敏感信息。並應採取有效措施防止特約商戶和外包服務機構存儲銀行卡敏感信息。
銀聯2008年出台的《銀聯卡收單機構賬戶信息安全管理標準》中也有稱,銀行卡受理終端僅限於保存當前交易批次內用於交易清分所必需的基本信息要素,並在該批次結束後及時予以清除;各類受理終端均不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼、卡片有效期等敏感賬戶信息。
“從目前披露的情況看,攜程方面可能存在一些瑕疵。”銀聯風險管理專家王宇對此聲稱,我們一直在積極推動相關機構嚴格落實相關要求,商戶及收單機構不能留存持卡人的敏感信息,同時也要採取多種措施提升交易環節的信息安全管理。
但這並不是攜程在信息洩露上的全部危險。更大的漏洞,是流程上的不合理。
存儲信息資格
“2010年的時候,這個方案已經在用了。”一位支付行業高管透露,如果只有信用卡卡號和有效期就刷卡成功,那麼這個漏洞太大了。
“理論上來說第三方支付公司從銀行拿接口必須提供實名校驗,這就意味著必須提供個人的姓名、身份證號、卡號、CVV有效期才能完成這筆扣費。其實攜程無權留取用戶信用卡的相關信息,因為這必須是銀行或者是第三方有資質的機構。但攜程是在走擦邊球,一直在做這種留存。據我所知,如果你不給他提供這種接口,攜程不會跟你合作,而且合作條件很苛刻。”該人士透露。
從烏雲上流傳出來的內容看,攜程是對用戶的銀行卡、身份證等敏感信息做了留存的。
更重要的問題是,這顯然已經不是個新問題了,攜程卻一直沒有解決。
幾天前記者接到過銀率網一封郵件,該郵件中提到:王先生的同事許女士近日要到深圳出差訂酒店,她使用公司的固定電話撥打了攜程的客服電話,由於訂房需要預付房款,許女士就按照攜程的電話語音提示輸入了自己的信用卡卡號、信用卡有效期和後三位的CVV2支付密碼,輸入完成後,攜程客服表示卡片有效,房間預定成功,會隨後通過郵件發給她訂單。
然而許女士的同事王先生在半個小時之後收到了招商銀行發來的扣款短信,稱他在攜程預訂的房款已扣除。正在開會的王先生一頭霧水,自己根本沒有通過攜程訂房,為何卻被扣款了,難道是信用卡被盜刷了?王先生趕緊撥打了攜程的電話詢問這筆扣款的情況,被告知這筆扣款是同事許女士預訂的深圳酒店。
事件截止到這裡似乎只是攜程扣款不當的問題,但攜程扣款成功的這張卡是王先生很久以前辦過的一張招商銀行信用卡,有效期馬上就要到了,王先生在上個月已經申請了換新卡,目前這張新卡已經激活使用,舊卡早就無效了,而且舊卡和新卡後三位的支付密碼並不相同,為什麼攜程依然能夠通過這張卡扣款成功了?
對此,招商銀行方面表示(銀率網資料中所引用,並非經濟觀察網記者採訪),對於攜程這樣有品牌的網站,銀行在收到支付請求時通常審核的比較鬆,可能在核對相關信息時出現了失誤,但到底是哪個環節的問題銀行表示還需要進一步調查。
銀率網分析師華明認為,在這件張冠李戴的扣款事件中,攜程和銀行都存在著審核漏洞:攜程方面的問題是,雖然是同一個電話做的電話預定,但許女士明明輸入了自己的卡號和信息,攜程卻直接無視,而將款項扣到了王先生頭上。
銀行方面的問題是,明明已經過期的信用卡,後三位的支付密碼也不相同,為何卻讓攜程通過了扣款申請,在如今信用卡盜刷案件頻發的情況下,發卡銀行不僅沒有對於信用卡支付請求進行更嚴格的把關,反倒是對大型網站的支付“睜一只眼閉一只眼”,讓信息在並不正確的情況下過了關,銀行無疑需要好好檢討一下了。
對於此事,湯瀾用無數個“巧合”來解釋:第一個巧合:許女士曾經用同事王先生的信用卡訂過酒店,在徐女士的賬號內產生過王先生信用卡的消費記錄。而此前銀率網所稱,王先生的信用卡與許女士所打座機綁定,事實並非如此——當許女士再次用自己的賬號訂酒店,進行支付時賬號綁定的仍是王先生的信用卡,許女士誤認為是自己的。
第二個巧合:輸入驗證失敗後,許女士被要求再次輸入驗證信息,此時由於工作人員操作失誤,誤將重新輸入驗證信息的操作變成了“修改”信用卡的驗證信息。
第三個巧合:“修改”信用卡驗證信息,需要提供信用卡有效期——“巧合”的是,許女士的信用卡過期日期與王先生此前注銷過的舊卡過期日期完全一致,所以舊卡才會被重新激活,並發生效用,產生了訂單。
湯瀾表示,攜程在此次事件中有不少失誤。比如許女士在驗證時,攜程工作人員將此操作當成了修改,並由於許女士賬號有王先生信用卡消費記錄以及兩人信用卡有效期完全一致等種種巧合導致了此次事件的發生。攜程網確實接到了許女士的投訴,我們也向她做了解釋並得到理解。
湯瀾還談到具體改進措施。一是要在信息確認的界面上將“修改”選項移除,從而避免類似的“誤操作”。
經濟觀察網記者查詢了相關網站,PCI DSS(Payment Card Industry Data Security Standards)即資料安全作業標準。
這是由信用卡組織(American Express, Discover Financial Services, JCB International, MasterCard Worldwide, and Visa, Inc.)之PCI安全標準委員會(Payment Card Industry Security Standards Council)所制定,為儲存、處理、或傳輸信用卡持卡人賬戶或交易資訊之信用卡相關業務、相關機構必須遵守的安全規範。
湯瀾則坦承,攜程已經申請,目前確實沒有通過該認證。但湯瀾稱在國外好像已經通過。
在該認證網站上,並沒有已經從事機票、酒店業務15年的攜程,卻有剛剛成立4年的小米。(時間:3月24日 來源:經濟觀察報) |
