攜程只是支付漏洞?你將PCI DSS規(guī)范置于何地?
攜程銀行卡信息泄露事件持續(xù)發(fā)酵�����,引發(fā)眾多消費(fèi)者對(duì)用卡安全的擔(dān)憂(yōu)��。攜程官方回應(yīng)稱(chēng)���,“此漏洞是攜程的技術(shù)開(kāi)發(fā)人員為排查系統(tǒng)疑問(wèn)����,留下了臨時(shí)日志�,因疏忽未及時(shí)刪除����,目前,這些信息已被全部刪除��。”
攜程針對(duì)支付日志漏洞致用戶(hù)信用卡信息泄露的官方聲明(點(diǎn)擊放大)
同時(shí),攜程在聲明中指出�,經(jīng)攜程排查,僅漏洞發(fā)現(xiàn)人做了測(cè)試下載����,內(nèi)容含有極少量加密卡號(hào)信息,共涉及93名存在潛在風(fēng)險(xiǎn)的攜程用戶(hù)����。
在聲明中,我們注意到����,攜程雖然對(duì)結(jié)果進(jìn)行了補(bǔ)救,但對(duì)一些關(guān)鍵信息并沒(méi)有給出解釋�。
為何保存CVV安全碼?
我們知道CVV安全碼等同于密碼,一般進(jìn)入支付金額這一流程�����,用戶(hù)被要求輸入身份證號(hào)���、持卡人姓名�����、信用卡卡號(hào)���、信用卡卡背面上三位CVV安全碼����,交易就宣告成功�����,根本無(wú)需輸入信用卡密碼�����。所以�����,它的作用與風(fēng)險(xiǎn)可想而知���。
但攜程卻保存了CVV碼,不幸的是又泄露了����。暫且不說(shuō)漏洞本身���,但是最起碼的安全意識(shí)卻沒(méi)有。
就 像某位微博用戶(hù)提到的��,“交易網(wǎng)站存CVV相當(dāng)于小時(shí)工偷偷配了你家的鑰匙����,同時(shí),他還知道關(guān)于你家所有的信息�����。而存儲(chǔ)了用戶(hù)信用卡的CVV��,還泄漏了��, 前一個(gè)是企業(yè)的基本道德問(wèn)題����,后一個(gè)是安全問(wèn)題。有些信息可以存�����,有些信息無(wú)論如何也不能存,攜程存了無(wú)論如何也不該存的CVV���,需要輸入CVV和存儲(chǔ) CVV是兩個(gè)概念�����。”
所以����,對(duì)與攜程的回應(yīng)��,很多人并不滿(mǎn)意�����。就像明朝萬(wàn)達(dá)董事長(zhǎng)王志海認(rèn)為的����,“攜程用戶(hù)信用卡及信息泄漏事件,攜程旅 行網(wǎng)回復(fù)避重就輕�����,有漏洞能理解�,信息不加密也可只算不重視用戶(hù)隱私,重點(diǎn)是為什么要違規(guī)記錄用戶(hù)信用卡的cvv?作為號(hào)稱(chēng)經(jīng)過(guò)pci認(rèn)證的知名電商不應(yīng)該不知道這是違法行為吧?”
所以���,到這我們不僅要質(zhì)疑攜程的安全意識(shí)�,而且你是否在違規(guī)呢?
我們知道�,攜程在美國(guó)納斯達(dá)克上市,對(duì)于 PCI DSS規(guī)范應(yīng)該是熟悉的��。PCI DSS 中的要求是針對(duì)在日常運(yùn)營(yíng)期間需要處理持卡人數(shù)據(jù)的公司和機(jī)構(gòu)提出的����。具體而言,PCI DSS 對(duì)在整個(gè)營(yíng)業(yè)日中處理持卡人數(shù)據(jù)的金融機(jī)構(gòu)�、貿(mào)易商和服務(wù)提供商提出了要求。PCI DSS 包括有關(guān)安全管理�、策略、過(guò)程����、網(wǎng)絡(luò)體系結(jié)構(gòu)、軟件設(shè)計(jì)的要求的列表�,以及用來(lái)保護(hù)持卡人數(shù)據(jù)的其他措施。
看來(lái)���,PCI DSS 對(duì)攜程又有多少落地呢?延伸到更多涉及支付行業(yè)的企業(yè)�����,又有多少拿此規(guī)范應(yīng)用到支付流程中呢?
事件還原:
3 月22日晚間����,漏洞報(bào)告平臺(tái)烏云網(wǎng)在其官網(wǎng)上公布了一條網(wǎng)絡(luò)安全漏洞信息,指出攜程安全支付日志可遍歷下載���,導(dǎo)致大量用戶(hù)銀行卡信息泄露 (包含持卡人姓名身份證�����、銀行卡號(hào)�����、卡CVV碼�、6位卡Bin)�。此外,攜程還被曝某分站源代碼包可直接下載 (涉及數(shù)據(jù)庫(kù)配置和支付接口信息)��。
漏洞詳情描述:
由于攜程用于處理用戶(hù)支付的安全支付服務(wù)器接口存在調(diào)試功能�����,將用戶(hù)支付的記錄用文本保存了下來(lái)�����。同時(shí)因?yàn)楸4嬷Ц度罩镜姆⻊?wù)器未做校嚴(yán)格的基線(xiàn)安全配置��,存在目錄遍歷漏洞����,導(dǎo)致所有支付過(guò)程中的調(diào)試信息可被任意駭客讀取。
所謂遍歷通常是指沿著某條搜索路線(xiàn)���,依次對(duì)樹(shù)中每個(gè)結(jié)點(diǎn)均做一次且僅做一次訪(fǎng)問(wèn)�����。這一被歸類(lèi)為“敏感信息泄露”的漏洞�����,被指可能導(dǎo)致大量攜程用戶(hù)持卡人姓名身份證�、銀行卡號(hào)�����、卡CVV碼、6位卡Bin等信息外泄���。
