攜程只是支付漏洞?你將PCI DSS規(guī)范置于何地?
攜程銀行卡信息泄露事件持續(xù)發(fā)酵����,引發(fā)眾多消費者對用卡安全的擔(dān)憂。攜程官方回應(yīng)稱����,“此漏洞是攜程的技術(shù)開發(fā)人員為排查系統(tǒng)疑問,留下了臨時日志�,因疏忽未及時刪除,目前���,這些信息已被全部刪除���。”
攜程針對支付日志漏洞致用戶信用卡信息泄露的官方聲明(點擊放大)
同時��,攜程在聲明中指出���,經(jīng)攜程排查��,僅漏洞發(fā)現(xiàn)人做了測試下載���,內(nèi)容含有極少量加密卡號信息��,共涉及93名存在潛在風(fēng)險的攜程用戶。
在聲明中���,我們注意到����,攜程雖然對結(jié)果進(jìn)行了補救�����,但對一些關(guān)鍵信息并沒有給出解釋���。
為何保存CVV安全碼?
我們知道CVV安全碼等同于密碼����,一般進(jìn)入支付金額這一流程���,用戶被要求輸入身份證號����、持卡人姓名�、信用卡卡號��、信用卡卡背面上三位CVV安全碼����,交易就宣告成功���,根本無需輸入信用卡密碼�����。所以���,它的作用與風(fēng)險可想而知。
但攜程卻保存了CVV碼�����,不幸的是又泄露了�����。暫且不說漏洞本身��,但是最起碼的安全意識卻沒有��。
就 像某位微博用戶提到的,“交易網(wǎng)站存CVV相當(dāng)于小時工偷偷配了你家的鑰匙���,同時���,他還知道關(guān)于你家所有的信息��。而存儲了用戶信用卡的CVV�,還泄漏了, 前一個是企業(yè)的基本道德問題����,后一個是安全問題。有些信息可以存�����,有些信息無論如何也不能存��,攜程存了無論如何也不該存的CVV����,需要輸入CVV和存儲 CVV是兩個概念。”
所以����,對與攜程的回應(yīng)�,很多人并不滿意���。就像明朝萬達(dá)董事長王志海認(rèn)為的�,“攜程用戶信用卡及信息泄漏事件���,攜程旅 行網(wǎng)回復(fù)避重就輕����,有漏洞能理解��,信息不加密也可只算不重視用戶隱私����,重點是為什么要違規(guī)記錄用戶信用卡的cvv?作為號稱經(jīng)過pci認(rèn)證的知名電商不應(yīng)該不知道這是違法行為吧?”
所以,到這我們不僅要質(zhì)疑攜程的安全意識�����,而且你是否在違規(guī)呢?
我們知道�����,攜程在美國納斯達(dá)克上市,對于 PCI DSS規(guī)范應(yīng)該是熟悉的���。PCI DSS 中的要求是針對在日常運營期間需要處理持卡人數(shù)據(jù)的公司和機構(gòu)提出的����。具體而言����,PCI DSS 對在整個營業(yè)日中處理持卡人數(shù)據(jù)的金融機構(gòu)�、貿(mào)易商和服務(wù)提供商提出了要求。PCI DSS 包括有關(guān)安全管理�、策略、過程�、網(wǎng)絡(luò)體系結(jié)構(gòu)、軟件設(shè)計的要求的列表�����,以及用來保護(hù)持卡人數(shù)據(jù)的其他措施���。
看來���,PCI DSS 對攜程又有多少落地呢?延伸到更多涉及支付行業(yè)的企業(yè)�,又有多少拿此規(guī)范應(yīng)用到支付流程中呢?
事件還原:
3 月22日晚間���,漏洞報告平臺烏云網(wǎng)在其官網(wǎng)上公布了一條網(wǎng)絡(luò)安全漏洞信息�����,指出攜程安全支付日志可遍歷下載����,導(dǎo)致大量用戶銀行卡信息泄露 (包含持卡人姓名身份證�、銀行卡號、卡CVV碼���、6位卡Bin)����。此外���,攜程還被曝某分站源代碼包可直接下載 (涉及數(shù)據(jù)庫配置和支付接口信息)���。
漏洞詳情描述:
由于攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能,將用戶支付的記錄用文本保存了下來。同時因為保存支付日志的服務(wù)器未做校嚴(yán)格的基線安全配置�����,存在目錄遍歷漏洞�,導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取。
所謂遍歷通常是指沿著某條搜索路線�,依次對樹中每個結(jié)點均做一次且僅做一次訪問。這一被歸類為“敏感信息泄露”的漏洞�����,被指可能導(dǎo)致大量攜程用戶持卡人姓名身份證�、銀行卡號、卡CVV碼��、6位卡Bin等信息外泄����。
