攜程網漏洞“烏云”籠罩全行業

■杜磊

攜程網漏洞“烏云”籠罩全行業

■杜磊

近日，國內知名漏洞報告平臺烏云公布了一則關于攜程的漏洞信息，稱大量用戶銀行卡信息可能泄漏，讓曾經用信用卡在攜程消費過的用戶陷入恐慌。就在同一天，繼工行、農行、中行后，建行也完成了對快捷支付轉賬額度限制的下調。

據報道，攜程違反銀聯規定，將用戶支付的記錄用文本保存了下來，包括用戶姓名、身份證號、銀行卡號和CVV碼（即信用卡背面右下角的三位數字）。用戶信用卡的CVV碼被視為密碼或簽名，在一些消費場景下，如利用相關信息注冊第三方支付賬號后，擁有這個驗證碼就可以等同用戶使用信用卡后簽字的過程，交易會被銀行認可。

這一明顯違規的操作行為，使得網絡支付安全再次成為關注焦點。甚至有業內人士悲觀認為，在傳統金融業與互聯網金融激烈博弈之際，此事件將成為央行收緊互聯網金融的一個最好的理由，從而成為互聯網金融發展的一個分水嶺。

在過去幾年的時間里，互聯網金融一路高速發展，其與傳統金融業的博弈亦日益深化，同時引起了監管層的重視。攜程網的漏洞門事件，正發生在傳統金融業與互聯網金融激烈博弈的風頭浪尖上，這個時期監管部門正以用戶安全為由，要對第三方支付施加諸多限制。

攜程網漏洞泄露用戶支付消息，本來是個互聯網公司的技術與安全事件，但卻被認為很可能會給目前的互聯網金融監管之爭火上澆油。之所以這么說，是因為現在確實流行一種看法，把某個支付事件的不安全，意會為整個支付方式乃至整個互聯網金融的不安全。

但正確的邏輯不是這樣的。仔細看這次攜程網泄密門事件，其實是發生在信用卡支付過程中，這種信用卡支付方式是符合國際慣例的，也就是說全世界發達國家都在使用攜程正在用的信用卡支付方式。而攜程之所以出現問題，是因為它在技術上出了漏洞，更關鍵的是，在對待用戶信息上，攜程網操作不規范，它不但存儲了CVV2碼等按照國際慣例不該存儲的信息，而且沒有加密。

這說明什么呢？說明攜程采用的支付方式在國際上是安全的，但是由于網站的行為不規范和疏忽，導致這種安全的支付方式也變得不安全；說明這世界上沒有絕對安全的支付方式，泄密問題的關鍵不在于某種支付方式有原罪般的不安全缺陷，而在于操作者是否規范，相關的保障制度是否健全，不能因為個別互聯網企業個案，來論證某種支付方式乃至互聯網金融的不安全，按照這種邏輯，可被叫停的各種網上支付方式就太多了。

從表面上看，四大行分別調低快捷支付額度都是各自的商業行為，理由充分。但如果聯想到此前央行公布的《支付機構網絡支付業務管理辦法》、《手機支付業務發展指導意見》（征求意見稿）等文件，以及央行對虛擬信用卡和二維碼支付的叫停，就會發現事情沒那么簡單，傳統金融正在向新興的互聯網金融業施加壓力，以限制其蓬勃的發展，而全部的理由只有一個：安全問題。

安全與監管是金融業的題內應有之意，縱觀互聯網發展史乃至整個技術發展史，監管從來都是滯后于新技術、新商業模式創新的，從這個角度講，在互聯網金融業狂飆突進近一年后，把監管提上日程并不為過，但為什么企業界與外界輿論會對監管問題有非常大的反彈呢？關鍵還是動機和利益。

有業內專家指出：有關部門應多對具體問題定點打擊，慎對整個行業全方位轟炸。安全隱患究竟是存在于支付方式中，還是存在于支付方式的執行過程中，具有本質的不同，治理手段也不同。攜程事件中，出問題的是攜程，而不是信用卡支付或CVV2（或CVC2）驗證本身。

但攜程安全漏洞事件看上去雖然只是一個偶然，卻反映出互聯網金融在經歷快速發展之時，也到需要監管的時候了。

基于手機支付的互聯網金融的安全問題與降低限額以及叫停二維碼之類真有什么必然聯系嗎？從這次攜程泄密門可以看出，泄密門雖然暴露了攜程在安全管理上的缺陷，但歸根結底，這只是攜程網站的問題，是人和企業的疏忽，而不是制度上與技術上固有的問題，就像之前叫停的二維碼支付方式有風險，但其實是二維碼掃描過程中會遇到釣魚、非法信息而導致，并非二維碼支付方式本身有風險。如果以安全理由叫停二維碼支付，現在攜程網上信用卡支付也出現問題了，央行是否考慮也叫停信用卡的CVV支付方式呢？

所以，限制與叫停不應該是保障互聯網金融安全的主要方式，監管部門更多的精力應該放在如何在信用支付使用中保障安全上。此外，還有諸如要求商家內部網絡安裝防火墻，監測重要數據的使用記錄，等等重要措施來保護信用卡數據安全等等。

比如強制相關網站必須通過PCI-DSS安全認證這樣國際性的在線交易數據安全標準，并定期核查。PCI-DSS安全認證的主要過程是由VISA和MasterCard授權的獨立審查公司完成的一次徹底的在線支付系統安全審查，其中有近200項審查內容。其基本安全措施包括：不允許商家存儲任何信用卡的三位或者四位確認碼；不允許商家無必要地顯示信用卡的所有位數；在實現網上交易時，傳遞信用卡的信息時必須使用加密；密碼設置至少要有7位，必須有數字和字母；修改密碼時不能提供和前四次相同的密碼，試密碼不能超過6次。

再比如，強制“寶寶軍團”為用戶購買保險，提供賠付服務。現在理財通以及余額寶都由保險公司全額承保。一旦發生資金被盜,都會由保險公司最終買單。

業內專家也建議不要動輒拿支付方式說安全，安全隱患究竟是存在于支付方式中，還是存在于支付方式的執行過程中，具有本質的不同，治理手段也應不同。至少在現階段，對待互聯網金融這類新生事物，手段上的安全保障與監管，比制度上的變動更為妥當，與其動輒否定暫停叫停某種支付方式，不如在手段上敦促和幫助其完善安全細節，當然，前者更省事，后者可能更勞神。

總之，攜程漏洞門是個別互聯網企業的行為不規范與疏忽，并不能因此證明互聯網金融是不安全的，如果在平時，也很難影響到互聯網金融業的發展進程。但現在正是傳統金融業與阿里巴巴等互聯網金融企業就監管問題激烈博弈期間，監管部門正要對第三方支付施加諸多限制，在這個關鍵時期爆出這樣的事情，其后續影響就很難估測了。

攜程有關人士接受記者采訪時坦言，攜程在技術調試過程中出現短時漏洞，經技術排查，漏洞已修復。攜程致歉并承諾，未來倘若發生安全漏洞并引起用戶損失，攜程將給予全額賠付。