60 秒读懂专题:携程网暴露的不只是安全漏洞,还有谎言、不遵循行业数据安全标准、不实在的承诺、违背银联的规定。但尽管如此,携程网在中国无法被实质惩处。而相似案例中的索尼公司被英国官方罚款。
导语:3月22日晚,漏洞报告平台“乌云网”在其官网上公布了一条网络安全漏洞信息,指出携程网安全支付日志可遍历下载,能导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV码、卡6位Bin码。此次爆出的不止是携程网重大安全漏洞,还有其他缺陷。
携程网安全漏洞中所能泄露的信息,可以使窃取信息者不必有信用卡密码就能盗刷客户的信用卡
携程网安全漏洞中包含的用户信用卡CVV码即“信用卡检查码”,是由卡号、有效期和服务约束代码生成的3位或4位数字,一般写在卡片磁条2磁道用户自定义数据区里面。信用卡无需密码支付的方式也叫“脱机交易”,这种支付方式仅凭卡号、CVV码等信息即可完成。对于此支付方式而言,CVV安全码等同于密码。一般进入支付金额这一流程,用户被要求输入身份证号、持卡人姓名、信用卡卡号、信用卡卡背面上三位CVV安全码,交易就宣告成功,根本无需输入信用卡密码。所以,它的作用与风险可想而知。所以CVV安全码相当于信用卡“第二密码”,需妥善保管。
此次事件暴露携程网存储客户的支付卡信息,但2014 年1 月携程网回复中国广播网采访时自称不保留用户的支付信息
对此,携程网做了及时回应。但是,该漏洞事件显示,携程将用户的姓名、身份证、银行卡号、卡CVV码、卡6位Bin码做了存储。而2014年1月中国广播网经济之声《天下公司》栏目采访携程网时,携程网公关事务部工作人员的正式回复是“目前携程网的后台不会记录用户的支付信息,同时后台的安全性也得到银联和银行的评估”。携程网客服也确认了“付款的信息都是不做保留的”。相隔两月,事实证明了携程网之前的表态并不尽真实。
携程网自称已通过认证的PCI-DSS 标准明确规定了商户不允许存储CVV 码、Bin 码等顾客信用卡“敏感验证数据”,信用卡支付授权完成后这些数据必须马上安全删除
携程网支付页面自称支付环节通过了PCI认证,但PCI-DSS(支付卡行业数据安全标准)明确规定了商户不允许存储CVV码。通过PCI-DSS标准要求的商户要将其适用于自己将存储、处理或传输持卡人数据和/或敏感验证数据等帐户数据的业务中。而标准中的“敏感验证数据”就包括CVV码与Bin码数据块。针对收单机构而言,敏感的认证数据在支付授权完成后,是必须要安全删除的。授权之后,即使已加密,也不允许存储敏感验证数据。按PCI-DSS标准的中国方认证机构“atsec中国”商业IT安全实验室的经验而言,要通过PCI-DSS标准合规验证,首先要达到的目标就是“删除敏感认证数据并限制不必要位置和非业务必须的持卡人数据的存储”。
携程的赔付承诺要靠受害者自我举证被盗刷,并不可靠
携程网这次做出赔付的承诺并不可靠,因为信用卡用户几乎无法举证信息泄露与携程有关。即便现在携程客户的信用卡没有被盗刷,黑客还是可能把泄露出的信息保存起来静默一段时间再实行盗刷,而到时被盗刷的原因也很难判断。如果信用卡被用此种方式盗刷,维权也很困难,因为银行会认为是本人持卡在执行这些操作。以中国国内相似的网银盗窃案件为例,迄今为止,所有的用户存款被通过网上银行转走的盗窃案件中,用户起诉银行时,银行无一例外会指责用户未妥善保管密码而予以罪犯可乘之机,并自辩自己的信息安全系统可靠。作为个体的用户显然在举证证明银行的网银存在技术漏洞方面存在很大困难,因此,此类案件多以银行胜诉告终。而此次事件的信用卡用户若坚持向携程网索赔,情形不会更乐观。
携程网存储支付卡敏感账户信息违反《银联卡收单机构账户信息安全管理标准》与《银行卡收单业务管理办法》,但银联无法按此标准实质惩处携程网
2014年1月份,携程网称自己的“后台的安全性也得到银联和银行的评估”。而银联2008年出台的《银联卡收单机构账户信息安全管理标准》显示,银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素,并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。但中国银联只是家银行卡组织,尽管它实际上垄断了中国的信用卡相关业务,但其管理标准在正式意义上是既没有法律效力也没有行政约束力的,并且这个管理标准中连违反标准的罚则都没有。
此外,中国央行发布的《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。但第四十八条罚则规定,只有从事收单业务的支付机构,未按规定建立交易和信息安全管理等制度的,才会被罚款。而携程网是商户,并非第三方支付机构。
PSN 服务发生泄露用户数据事件后,索尼公司因未尽对客户信用卡与个人信息的有效保护义务,被英国官方处以40 万美元罚款
比较携程网在中国说谎、违规却可以摆脱惩处的情况,同样不注意保护用户信息的索尼公司在英国就倒霉多了。由于2011年4月PSN服务的大规模数据泄露事件,2013年7月索尼公司被英国数据保护监管部门罚款40万美元。英国信息专员办公室表示,这一事件严重违反了英国的数据保护法,因此对索尼处以40万美元罚款。当时PSN服务泄露的用户数据包括用户姓名、地址、电子邮件地址、生日和帐号密码等,用户的信用卡信息也面临泄露风险。对于此次罚款,英国信息专员办公室副专员、数据保护主管大卫·史密斯(David Smith)表示,索尼本应尽对客户信息提供有效保护的注意义务:“如果你掌握了如此多的支付卡和登录信息,那么确保用户数据的安全将是优先工作。然而在本案中情况并非如此。当数据库被攻击时,安全保护措施完全不够。”
Visa 公司规定其美国商户要使用不储存“信用卡敏感信息”的支付系统软件,旗下任何一家“一级商户”存储用户信用卡CVV 码与Bin 码等“敏感信息”的话每月将被处罚25000 美元
作为PCI-DSS标准的发起者之一,2007年11月起,Visa公司规定其美国商户及其代理商使用不储存“信用卡敏感信息”的支付系统软件。Visa公司规定,如果收单机构有任何一家“一级商户”(有600万次卡交易的贸易商和已经危及持卡人数据信息安全的贸易商)在2008年9月30日前仍未达到PCI-DSS标准的合规要求、继续存储用户信用卡CVV码与Bin码等“敏感信息”的话,那么,这家收单机构将被Visa公司处罚每月25,000美元的罚款。自从该措施实施以来,PCI-DSS标准达标率快速提升。迄今,超过99%的“一级商户”和“二级商户”(卡交易在100 万次到600 万次之间的贸易商)已经确认它们没有储存敏感数据。相较中国央行与银联而言,Visa公司为美国信用卡用户提供的安全保障机制显然更可靠。