上個(gè)周末不太平。

3月22日，18點(diǎn)18分。一個(gè)編號(hào)為54302的漏洞報(bào)告，被曝光在互聯(lián)網(wǎng)安全問(wèn)題反饋平臺(tái)烏云(wooyun.org)之上，發(fā)布者是烏云的核心白帽子黑客“豬豬俠”。這份報(bào)告表明，攜程的一個(gè)漏洞會(huì)導(dǎo)致大量用戶(hù)銀行卡信息泄露，而這些信息可能直接引發(fā)盜刷等問(wèn)題。

這一消息很快通過(guò)媒體廣為流傳，關(guān)注度甚至超過(guò)稍后曝出的另一條新聞《華為總部服務(wù)器遭美國(guó)安局入侵》，也超出此前曝光一些看似也很?chē)?yán)重的漏洞。

一個(gè)讓用戶(hù)換卡的漏洞

這個(gè)漏洞是怎么回事兒？據(jù)介紹，由于攜程用于處理用戶(hù)支付的安全支付服務(wù)器接口存在調(diào)試功能，將用戶(hù)的支付記錄用文本保存了下來(lái)。同時(shí)因?yàn)楸４嬷Ц度罩镜姆��?wù)器未做校嚴(yán)格的基線(xiàn)安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過(guò)程中的調(diào)試信息可被任意黑客讀取。

所謂遍歷通常是指沿著某條搜索路線(xiàn)，依次對(duì)樹(shù)中每個(gè)結(jié)點(diǎn)均做一次且僅做一次訪(fǎng)問(wèn)。這一被歸類(lèi)為“敏感信息泄露”的漏洞，被指可能導(dǎo)致大量攜程用戶(hù)的信息曝光，包括：持卡人姓名身份證、銀行卡號(hào)、銀行卡CVV碼、6位卡Bin等非常敏感的內(nèi)容。

攜程官方的解釋為：技術(shù)開(kāi)發(fā)人員為了排查系統(tǒng)疑問(wèn)，留下了臨時(shí)日志，因疏忽未及時(shí)刪除。不過(guò)MediaV公司CTO胡寧還是通過(guò)微博批評(píng)稱(chēng)：“數(shù)據(jù)傳輸為明文，且線(xiàn)上竟長(zhǎng)時(shí)間打開(kāi)調(diào)試功能，導(dǎo)致系統(tǒng)日志中亦為明文，又未及時(shí)清理，所存儲(chǔ)的服務(wù)器還有安全漏洞”。

有攜程的同行對(duì)新浪科技表示，攜程在無(wú)線(xiàn)端有過(guò)不是非常安全的做法，這種方式雖然便于用戶(hù)操作，但存在一定的安全風(fēng)險(xiǎn)。而攜程內(nèi)部人士對(duì)新浪科技表示，這是一次“意外”的安全事故，攜程并非有意保存用戶(hù)的相關(guān)信息，出現(xiàn)這樣的問(wèn)題攜程內(nèi)部也覺(jué)得不可理解。

用戶(hù)們更是不可理解。這次漏洞外泄的信息，意味著用戶(hù)銀行卡的幾乎全部信息都存在曝光風(fēng)險(xiǎn)，有了這些信息，信用卡被盜刷可能變成一件易如反掌的事情。

面臨最大風(fēng)險(xiǎn)的，是來(lái)自于近期曾經(jīng)通過(guò)攜程無(wú)線(xiàn)端有過(guò)交易行為的用戶(hù)。攜程并沒(méi)有公布漏洞存在的時(shí)間和范圍，所以規(guī)避風(fēng)險(xiǎn)的最佳辦法，就是立即聯(lián)系銀行換卡。

據(jù)招商銀行信用卡客服透露，這幾天有很多用戶(hù)已就攜程漏洞問(wèn)題致電咨詢(xún)，其中大部分已經(jīng)采取立即注銷(xiāo)原有信用卡、另行開(kāi)通新卡的避險(xiǎn)措施。招商銀行工作人員介紹說(shuō)，重新制作信用卡需要兩天時(shí)間，加上遞送大約需要一周時(shí)間，這期間信用卡無(wú)法使用。

關(guān)鍵事項(xiàng)：CVV與PCI

面臨泄露風(fēng)險(xiǎn)的信息中，CVV更是成為關(guān)注的焦點(diǎn)。

CVV(Card Verification Value)也被稱(chēng)作CVC(Card Validation Code)，資料顯示，這部分信息是由卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字，一般寫(xiě)在卡片磁條的2磁道用戶(hù)自定義數(shù)據(jù)區(qū)里面。CVV和CVC 的生成方法是一樣的，只是叫法不一樣而已。

這個(gè)信息被用來(lái)在交易時(shí)進(jìn)行核對(duì)。CVV在聯(lián)機(jī)交易(刷卡)的時(shí)候核對(duì)，而在不實(shí)際刷卡的交易過(guò)程中，這個(gè)信息更是有著決定性的作用。不過(guò)值得詳細(xì)說(shuō)明的是，我們通常在不刷卡的支付過(guò)程中，需要提供的信息其實(shí)叫做CVV2，也就是卡片背面簽名檔旁邊的三位數(shù)。

作為敏感信息，CVV2在互聯(lián)網(wǎng)支付等不刷卡的交易中，有著明確的處理規(guī)定。

根據(jù)中國(guó)銀聯(lián)發(fā)布的《銀行卡收單機(jī)構(gòu)帳戶(hù)管理標(biāo)準(zhǔn)》，各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期。磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼、卡片有效期只用于完成銀聯(lián)卡交易，不能用于除此之外的任何其他用途。

多家提供在線(xiàn)支付的服務(wù)商也對(duì)新浪科技表示，在實(shí)際操作中會(huì)根據(jù)相關(guān)規(guī)定，不會(huì)對(duì)用戶(hù)的相關(guān)信息違規(guī)存儲(chǔ)。與CVV相比，另一個(gè)讓攜程面臨指責(zé)的英文縮寫(xiě)是PCI。

PCI，在金融業(yè)內(nèi)通常代指支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，即PCI-DSS(Payment Card Industry Data Security Standard)。制定PCI目的是為了優(yōu)化信用卡，借記卡和現(xiàn)金卡交易的安全，保護(hù)持卡人的個(gè)人信息，已防被他人利用。

在此次泄露事件中，有人指責(zé)攜程不具備符合PCI標(biāo)準(zhǔn)的資質(zhì)，并將此歸因于攜程在流程上出問(wèn)題的原因。VeryCD創(chuàng)始人戴云杰就公開(kāi)質(zhì)疑攜程：CVV2屬于不應(yīng)存儲(chǔ)的敏感數(shù)據(jù)。而有獲得PCI資質(zhì)的攜程同行告訴新浪科技，這個(gè)資質(zhì)申請(qǐng)并不容易，能通過(guò)也要耗時(shí)一年。

攜程究竟有沒(méi)有PCI資質(zhì)呢？官方給出的回應(yīng)是：攜程的做法，符合PCI-DSS規(guī)定。攜程將進(jìn)一步嚴(yán)格按照PCI-DSS的監(jiān)管要求執(zhí)行。

93通電話(huà)與1個(gè)用戶(hù)

當(dāng)然關(guān)于PCI的討論并不是當(dāng)務(wù)之急，也有獲得PCI資質(zhì)也同樣出事的反例。對(duì)于普通用戶(hù)而言，最核心的問(wèn)題是：我究竟安不安全？

詳細(xì)信息披露的缺乏，讓規(guī)模龐大的攜程用戶(hù)群體惴惴不安。官方的說(shuō)法是：“經(jīng)攜程排查，僅漏洞發(fā)現(xiàn)人做了測(cè)試下載，內(nèi)容含有極少量加密卡號(hào)信息，共涉及93名存在潛在風(fēng)險(xiǎn)的攜程用戶(hù)”。攜程將在23日逐個(gè)通知這93名用戶(hù)，沒(méi)有接到電話(huà)則表明“是安全的，無(wú)需擔(dān)心”。

93這個(gè)規(guī)模，相對(duì)于攜程只能算是極少數(shù)。一位22日在攜程平臺(tái)有過(guò)交易的用戶(hù)對(duì)新浪科技表示，并沒(méi)有收到來(lái)自攜程方面的電話(huà)通知。然而和另幾位近期有過(guò)攜程交易的用戶(hù)一樣，他們都對(duì)個(gè)人信息的安全表達(dá)了深度的擔(dān)憂(yōu)，對(duì)攜程的信任感也降至最低。

實(shí)際上，新浪科技取得聯(lián)系的攜程用戶(hù)中，大部分已經(jīng)采取了換卡的處理方式。

好消息是截至目前，還沒(méi)有公開(kāi)的信息顯示有攜程用戶(hù)因?yàn)檫@一漏洞遭遇損失。而不好的消息是，攜程信息泄露的情況，或許在更早之前已經(jīng)造成傷害。

廣西易搜科技CEO嚴(yán)茂軍就是一個(gè)案例。按照這位攜程鉆石卡會(huì)員的描述，今年2月25日一早，他的手機(jī)相繼出現(xiàn)多條信用卡消費(fèi)的短信提示，有的以美元結(jié)算、有的以英鎊結(jié)算、有的以歐元結(jié)算，這幾筆扣款合計(jì)金額不到人民幣兩萬(wàn)元。

幾番追究之后，嚴(yán)茂軍把懷疑對(duì)象鎖定在攜程身上，據(jù)他的描述只有和攜程賬號(hào)綁定的三張信用卡，在2月25日那天出現(xiàn)了十幾筆盜刷外幣的事件，而其另外的三張信用卡則相安無(wú)事。不過(guò)嚴(yán)茂軍所提出的質(zhì)疑，沒(méi)有其他更為嚴(yán)密的證據(jù)能夠證明，也很難讓攜程就此承認(rèn)。

“我是這幾家銀行白金客戶(hù)，擁有72小時(shí)賠付，如果不是我的責(zé)任被盜刷，我無(wú)須自己支付，由白金保險(xiǎn)承擔(dān)”，在與新浪科技溝通時(shí)嚴(yán)茂軍說(shuō)攜程的安全漏洞或許成為銀行的借口，他擔(dān)心一旦出現(xiàn)問(wèn)題會(huì)有很多非白金的用戶(hù)需要自行承擔(dān)損失。(責(zé)任編輯：韓杰)