攜程漏洞門涉違規(guī)難追責(zé):新消法未規(guī)定如何處罰
專家認(rèn)為,攜程存儲用戶敏感信息CVV碼的行為,違背了銀聯(lián)的相關(guān)規(guī)定,但攜程應(yīng)承擔(dān)何種責(zé)任卻不明確,后續(xù)處罰也難以跟進(jìn)
“烏云”壓“程”,“程”欲摧。
近日,國內(nèi)漏洞研究機(jī)構(gòu)烏云平臺曝光稱,攜程旅行網(wǎng)(以下簡稱“攜程”)存在信息安全漏洞,可能導(dǎo)致其信用卡用戶的身份證、卡號、CVV碼等多項(xiàng)個人隱私信息的泄露,一時間引發(fā)眾多用戶對攜程安全體系的強(qiáng)烈質(zhì)疑。
據(jù)了解,所謂CVV碼,即Card Verification Value,是印在信用卡上的一組驗(yàn)證碼,通常是由卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字。
“CVV碼是作為網(wǎng)絡(luò)無卡交易時的一種驗(yàn)證碼,一旦泄露出去將給持卡人帶來很大的安全風(fēng)險?!毙庞每ㄩT戶網(wǎng)站我愛卡網(wǎng)增值業(yè)務(wù)部總監(jiān)董崢告訴法治周末記者。
攜程華北區(qū)公共事務(wù)部工作人員閆鑫在接受法治周末記者采訪時表示,攜程將在交易完成后刪除客戶的CVV信息,不再保存。以前保存的那些CVV信息,正在予以刪除。
攜程此前也發(fā)布公告稱:“我們將會按照監(jiān)管部門的要求,盡快優(yōu)化完善用戶的支付流程,排查所有可能存在漏洞,邀請國內(nèi)知名網(wǎng)絡(luò)安全專家對攜程系統(tǒng)進(jìn)行會診。同時,我們已經(jīng)啟動了CFCA和PCI的認(rèn)證程序,以期更好地符合監(jiān)管要求。”
不過,攜程CVV碼安全漏洞事件所帶來的魔咒似乎并沒有因此得以完全解開,一系列相關(guān)的質(zhì)疑仍在不斷涌現(xiàn)——攜程為何要存儲用戶的CVV碼?這一做法是否合規(guī)?CVV碼一旦泄露將給用戶帶來哪些損失?
攜程為何存儲用戶CVV碼
關(guān)于攜程安全漏洞的報告,由網(wǎng)友豬豬俠發(fā)布在烏云平臺上。
該報告指出,攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能,使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。
同時因?yàn)楸4嬷Ц度罩镜姆?wù)器未做嚴(yán)格的基線安全配置,存在目錄遍歷漏洞,導(dǎo)致所有支付過程中的調(diào)試信息可被任意黑客讀取。
這些信息包括用戶的持卡人姓名、持卡人身份證、所持銀行卡類別(如招商銀行信用卡等)、所持銀行卡卡號、所持銀行卡CVV碼、所持銀行卡6位Bin(用于驗(yàn)證支付信息的6位數(shù)字)。
豬豬俠在微博回復(fù)法治周末記者采訪時表示,目前其個人并不方便對該事件進(jìn)行評論。
攜程發(fā)布公告稱,攜程在發(fā)現(xiàn)問題后立即展開技術(shù)排查,并在兩小時內(nèi)修復(fù)漏洞。
攜程在公告中表示,經(jīng)攜程排查,僅漏洞發(fā)現(xiàn)人做了測試下載,內(nèi)容含有極少量加密卡號信息,共涉及93名存在潛在風(fēng)險的攜程用戶。
在這個安全漏洞被曝光的同時,攜程保存用戶CVV碼等重要個人信息的行為也漸漸浮出水面。
閆鑫告訴法治周末記者,這些問題是由于攜程工作人員的疏忽所致,并且是該員工的個人行為,安全日志未及時刪除,所以后來才被烏云上的豬豬俠發(fā)現(xiàn)了這個漏洞。
“從安全角度來講,CVV碼是沒有必要去儲存的,商家也不應(yīng)該儲存?!倍瓖樃嬖V法治周末記者。
既然如此,攜程為什么要存儲用戶的CVV碼呢?
閆鑫告訴法治周末記者,CVV碼其實(shí)就像銀行密碼一樣,主要是公司(即攜程)在和銀行進(jìn)行對接的時候需要用到它,如果沒有CVV碼就無法同銀行進(jìn)行支付業(yè)務(wù)。
“作為旅游行業(yè)的公司,往往會在預(yù)訂機(jī)票或者酒店的時候出現(xiàn)一個緩沖期,其間公司會和銀行以及供應(yīng)商去確認(rèn)房間與機(jī)票是否真正已經(jīng)預(yù)定上,在這個過程中就會存在信息緩存的現(xiàn)象?!遍Z鑫表示。
此前一位攜程的工作人員也曾公開表示,以預(yù)定機(jī)票和酒店為代表的旅游產(chǎn)品,其價格會隨著庫存、預(yù)訂時間實(shí)時變化。對于在線旅游網(wǎng)站而言,將用戶的姓名、身份證、信用卡號、CVV碼等儲存起來,預(yù)訂反應(yīng)機(jī)制會更加靈活,能優(yōu)化消費(fèi)者體驗(yàn)。
攜程該工作人員稱,這或許是行業(yè)的一種潛規(guī)則。
董崢告訴法治周末記者,這就屬于無卡交易,用戶將用于支付的信用卡卡號、發(fā)卡日期、有效期、CVV碼等告知對方公司后,對方會在之后的消費(fèi)過程中提示消費(fèi)者繼續(xù)使用留有相關(guān)信息的那張信用卡。
“消費(fèi)者確認(rèn)該信用卡支付后,系統(tǒng)就會轉(zhuǎn)向那張卡和它已經(jīng)存儲下來的CVV碼,如此就啟動了無卡支付流程?!倍瓖槺硎荆澳壳皣覍τ跓o卡交易的商戶限定非常嚴(yán)格,無卡交易權(quán)很難拿到?!?/p>
近日也有消息曝出,早在2009年以前,攜程的服務(wù)器并不留存用戶CVV碼,用戶每次購買機(jī)票或者預(yù)訂酒店都需要輸入CVV碼;但2009年,攜程CEO范敏為了簡化操作流程和優(yōu)化客戶體驗(yàn),最終決定在攜程服務(wù)器上留存CVV碼。
不過這一說法目前尚未得到攜程方面的確認(rèn)。
閆鑫告訴法治周末記者,攜程以后一定會嚴(yán)格按照國家以及相關(guān)機(jī)構(gòu)的規(guī)定,在客人支付完成后,立即將CVV等信息刪除。
專家稱攜程違規(guī)
中央財經(jīng)大學(xué)中國銀行業(yè)研究中心主任郭田勇在接受法治周末記者采訪時表示,依照相關(guān)規(guī)定,攜程存儲用戶CVV碼的行為應(yīng)屬違規(guī)。
銀聯(lián)2008年出臺的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》中規(guī)定,銀行卡受理終端僅限于保存當(dāng)前交易批次內(nèi)用于交易清分(清算的數(shù)據(jù)準(zhǔn)備階段,主要是將當(dāng)日的全部網(wǎng)絡(luò)交易數(shù)據(jù)進(jìn)行匯總、整理、分類)所必需的基本信息要素,并在該批次結(jié)束后及時予以清除;各類受理終端均不得存儲銀行卡磁道信息、卡片驗(yàn)證碼、個人標(biāo)識代碼、卡片有效期等敏感賬戶信息。
記者同時也發(fā)現(xiàn),目前針對上述違規(guī)情況,《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》中尚未明確銀行卡受理終端違規(guī)存儲用戶CVV碼所要承擔(dān)的相關(guān)責(zé)任。
“即便如此,相關(guān)部門仍可以根據(jù)具體情況酌情對違規(guī)者進(jìn)行處罰?!惫镉卤硎?。
中國政法大學(xué)民商經(jīng)濟(jì)法學(xué)院教授吳景明坦言,有規(guī)定但是沒有處罰細(xì)則,這樣違規(guī)者也很難得到應(yīng)有的制裁,所以經(jīng)營者往往敢于違規(guī)操作,這也是當(dāng)前存在的一個欠缺。
吳景明告訴法治周末記者,如果商家因違規(guī)給消費(fèi)者造成損失,可以按照其他相關(guān)規(guī)定,如侵權(quán)責(zé)任法、消費(fèi)者權(quán)益保護(hù)法等對其進(jìn)行制裁。
對于攜程保留客戶信息是否將面臨處罰的問題,閆鑫表示,目前還沒有得到任何相關(guān)通知。
吳景明表示,新消法中也對信息泄露問題進(jìn)行了明確規(guī)定,即商家對消費(fèi)者的個人信息要進(jìn)行嚴(yán)格的保密義務(wù)。保護(hù)個人信息已經(jīng)成為現(xiàn)代社會尤其是網(wǎng)絡(luò)時代一個非常重要的內(nèi)容。
CVV碼泄露的潛在風(fēng)險
董崢告訴法治周末記者,Visa和MasterCard是國際上兩大信用卡組織,CVV碼是Visa的稱謂,萬事達(dá)則稱作Card Validation Code,即CVC碼。
“雖然稱謂不同,但是它們的功能卻是一樣的。”董崢表示。
據(jù)董崢介紹,在正常情況下,信用卡到期換卡時卡號是不變的,CVV碼則是變的,它是個隨機(jī)號。而且這個隨機(jī)號甚至連銀行都不知道,不計入銀行數(shù)據(jù)庫,相當(dāng)于一個隨機(jī)驗(yàn)證碼。
“在信用卡信息里,CVV碼和卡片號都非常重要,很多消費(fèi)者的信用卡被盜刷就是因?yàn)閮蓚€號碼同時泄露出去了?!倍瓖樃嬖V法治周末記者。
在游俠安全網(wǎng)創(chuàng)始人張百川看來,攜程存儲用戶CVV碼的行為,具有較大的安全風(fēng)險。
“攜程存儲CVV碼是出于自身方便的目的,但是它很難保證這些信息在其系統(tǒng)內(nèi)的安全,而一旦這些數(shù)據(jù)泄露出去,必將給消費(fèi)者造成較大的損失,這肯定是與安全相悖的。”張百川告訴法治周末記者。
對此,攜程方面曾發(fā)布公告稱,攜程客服于3月23日已全數(shù)通知相關(guān)用戶更換信用卡,并給予上述93名用戶每人500元任我行禮品卡作為補(bǔ)償;經(jīng)各銀行反饋,截至目前,沒有發(fā)生攜程用戶信用卡被盜刷的情況。
“這93人并不是真正遇到了信息泄露的問題,只是他們的信息存在潛在的風(fēng)險?!遍Z鑫告訴法治周末記者。
閆鑫同時也表示:“實(shí)際上這93人名單也是經(jīng)過加密的,并不是任何人下載這個日志后就可以隨便看到里面內(nèi)容的,不過作為黑客確實(shí)有這樣的技術(shù)能力?!?/p>
那么,如果將來出現(xiàn)因此次信息泄露導(dǎo)致的消費(fèi)者損失的情況,攜程又將如何處理?
對此,閆鑫表示:“如果將來出現(xiàn)了消費(fèi)者因此次信息泄露導(dǎo)致的信用卡被盜刷的情況,攜程肯定會在第一時間配合相關(guān)部門如公安機(jī)關(guān)等去積極調(diào)查這一問題?!?/p>
攜程在公告中承諾,未來如果因安全漏洞引起用戶損失,攜程將承擔(dān)全部責(zé)任并給予賠付。
閆鑫還告訴法治周末記者,攜程現(xiàn)在已經(jīng)及時修補(bǔ)了漏洞,目前所有用戶的信用卡信息也都是安全的,大家不用急于去換卡,攜程不想因此給消費(fèi)者造成極大的恐慌,以后也會在安全方面繼續(xù)加大投入。
攜程剛啟動PCI認(rèn)證
在一些業(yè)內(nèi)人士眼中,攜程此次出現(xiàn)安全漏洞,與其一直未做PCI標(biāo)準(zhǔn)認(rèn)證有著較大的關(guān)聯(lián)。
國內(nèi)首個提供PCI合規(guī)咨詢與認(rèn)證的機(jī)構(gòu)——北京航天億展科技有限公司(以下簡稱“航天億展”)的一位相關(guān)負(fù)責(zé)人對法治周末記者表示,PCI是一套針對支付卡行業(yè)的國際安全認(rèn)證標(biāo)準(zhǔn),主要對持卡人數(shù)據(jù)在公網(wǎng)上傳輸、存儲、處理進(jìn)行安全認(rèn)證,防止卡支付的數(shù)據(jù)泄露。
該負(fù)責(zé)人進(jìn)一步表示,凡是業(yè)務(wù)中涉及到對持卡人數(shù)據(jù)的存儲、傳輸和處理的公司,都建議做PCI認(rèn)證。Visa和銀行也會強(qiáng)制涉及到外卡業(yè)務(wù)的第三方支付公司通過PCI認(rèn)證。
不過某旅游網(wǎng)站工作人員告訴法治周末記者,目前大多數(shù)電商都還沒有通過PCI認(rèn)證,但是也都是按照相應(yīng)的規(guī)范去執(zhí)行的。
“在線旅游網(wǎng)站中,去哪兒網(wǎng)已經(jīng)通過了PCI認(rèn)證,但是攜程則沒有?!睆埌俅ū硎?。
攜程在曝出安全漏洞后也在其公告中稱,已經(jīng)啟動了PCI認(rèn)證程序,以期更好的符合監(jiān)管要求。
那么,為何攜程此前一直沒有加入該項(xiàng)認(rèn)證?
閆鑫告訴法治周末記者:“國家并未強(qiáng)制規(guī)定電商一定要加入這個認(rèn)證才可以在網(wǎng)上進(jìn)行支付,它只是一個商業(yè)性標(biāo)準(zhǔn)。”
不過有消息稱,此前攜程曾有意向接入該系統(tǒng),但是公司工作人員去考察之后發(fā)現(xiàn),攜程系統(tǒng)要整改難度太大,業(yè)務(wù)種類多且交叉多,如果按照該系統(tǒng)接入而整改會使架構(gòu)有所變化。
閆鑫表示,目前尚未獲知這一情況。
據(jù)航天億展相關(guān)負(fù)責(zé)人介紹,企業(yè)要申請通過此認(rèn)證,并沒有具體的資質(zhì)要求,只要是有完善的網(wǎng)絡(luò)系統(tǒng)就可以在專業(yè)的PCI合規(guī)咨詢及認(rèn)證機(jī)構(gòu)的指導(dǎo)下,完成差距分析和整改工作,并最終獲得PCI認(rèn)證。
不過該負(fù)責(zé)人告訴法治周末記者,PCI標(biāo)準(zhǔn)有6大項(xiàng)目,下屬12個中型項(xiàng)目,再細(xì)分為242個小型項(xiàng)目,終端細(xì)分為399個流程測試項(xiàng),整個PCI標(biāo)準(zhǔn)基本就圍繞這些項(xiàng)目進(jìn)行的,需要逐項(xiàng)對所需驗(yàn)證的系統(tǒng)環(huán)境進(jìn)行評估整改,直到滿足要求為止。
中國電子商務(wù)協(xié)會政策法律委員會副主任阿拉木斯告訴法治周末記者,電子商務(wù)領(lǐng)域發(fā)展較快,變化也較大,一般的鼓勵性、參照性、指引性的安全標(biāo)準(zhǔn)比較多。
“針對當(dāng)前信息安全問題多發(fā)的現(xiàn)狀,以后在制定強(qiáng)制性標(biāo)準(zhǔn)以及相關(guān)法律的建設(shè)方面,還需要進(jìn)一步加強(qiáng)力度?!卑⒗舅贡硎荆耙?guī)范需要和法律法規(guī)相結(jié)合,不履行標(biāo)準(zhǔn)該承擔(dān)怎樣的法律責(zé)任,這也需要有相應(yīng)的規(guī)定。”
不過阿拉木斯也坦言,相對來說,系統(tǒng)很難達(dá)到絕對安全,它是一個動態(tài)的過程,就像操作系統(tǒng)一樣,總會不斷有漏洞出現(xiàn),需要不斷去打補(bǔ)丁修復(fù),而這種動態(tài)性也是當(dāng)前修法和立法所面臨的一個困境。法治周末記者蔡長春
鏈接
CFCA:
即中國金融認(rèn)證中心(China Financial Certification Authority),是經(jīng)中國人民銀行和國家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的國家級權(quán)威的安全認(rèn)證機(jī)構(gòu),是重要的國家金融信息安全基礎(chǔ)設(shè)施之一。
PIC認(rèn)證:
即支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(Payment Card Industry Data Security Standard)。Visa、MasterCard、American Express、Discover Financial Services、JCB這全球五大國際卡組織在2006年一起創(chuàng)辦了PCI安全標(biāo)準(zhǔn)委員會,并制定了這套保護(hù)持卡人數(shù)據(jù)的技術(shù)和操作的基本安全要求措施。
點(diǎn)擊排行 〉
- 經(jīng)營貸利率跌破3% 銀行“卷起來了”
- 北京“專精特新”專板開板 首批50余家企業(yè)登陸
- 三大指數(shù)集體收漲 創(chuàng)指漲1.26% 釀酒行業(yè)板塊領(lǐng)漲
- 存款超100萬元將被永久凍結(jié)?假的
- 頭部券商紛紛宣布下調(diào)交易傭金 還有繼續(xù)“降費(fèi)”空間
- 理性看待銀行利潤增速下滑
- 兩市震蕩調(diào)整 環(huán)保板塊逆勢領(lǐng)漲
- 市場監(jiān)管總局:加大水產(chǎn)品食品安全監(jiān)管及食鹽價格監(jiān)管力度
- 三部門推動落實(shí)購買首套房貸款“認(rèn)房不用認(rèn)貸”政策措施