網絡支付之憂

信用卡數據泄露引發恐慌

一個銀行支付的安全漏洞，最終觸發了一場全民性的“安全”危機。

3月22日，頗具影響力的安全漏洞報告平臺烏云發布消息稱，攜程旅行網支付日志存在漏洞。攜程安全支付日志可遍歷下載，導致大量用戶銀行卡信息泄露，包括持卡人姓名身份證、銀行卡號、CVV碼、6位卡Bin（用于驗證支付信息的6位數字）等信息都有可能被任意駭客讀取。

所謂CVV安全碼即是信用卡背面簽名條后7位斜體數字的末三位，是進行網絡和電話交易時的安全特征。若信用卡無卡支付，用戶只需提供卡號及此三位驗證碼，就可完成支付。根據攜程和烏云公布的資料來看，如果黑客發現了漏洞，獲得支付日志，就可以利用獲得的卡號和CVV碼在網上購物了。除了盜刷之外，還可能利用這些信息創建第三方支付帳號，綁定信用卡實現境外購物。

雖然攜程表示已在事發2小時后修復漏洞，并表示僅僅涉及93名存在潛在風險的攜程用戶。截至目前，未發生攜程用戶信用卡被盜刷的情況。可是此事件觸發了大眾對信用卡網上支付安全的恐慌。

攜程網儲存這些信用卡信息的初衷是為了方便客戶交易。和多家在線旅游服務提供商一樣，“常用卡服務”的做法在業內較為常見，即為用戶的該張信用卡如果是首次在某網站使用，在支付生效前需要客戶提供全部的信用卡授權所需信息。同時為了方便下次預訂，客戶可同意該網站保留其信用卡卡號和有效期等信息，在其下次預訂時只需提供所存信用卡的卡號后4位，該網站就可根據其當初保留在系統中的信用卡授權信息，執行支付步驟。比如在進行艙位變更的時候，不需要每次更改信息都要求用戶重復輸入CVV碼，方便客戶交易。可是這種存留信息的方式，必須要將信息進行絕對的保護，否則就是風險隱患所在。

攜程網暴露出的安全漏洞并非孤例。網絡正融入人們的日常生活，用戶包括身份、銀行卡等信息和互聯網應用綁定越來越緊密，而企業為了提高用戶操作和消費的便捷性，或者為了加快產品開發流程，往往忽略了互聯網應用的安全性。

去年12月，中國互聯網絡信息中心發布的《2013年中國網民信息安全狀況研究報告》顯示，我國網絡信息安全環境整體上不容樂觀，有74.1%的網民在此前半年，遇到過安全問題，影響總人數達到了4.38億。

層出不窮的網絡信息安全事件，不僅直接影響廣大網民的上網體驗，而且關系到互聯網金融行業的健康發展。這是一個亟待解決的重大網絡安全問題，此次攜程網事件理應成為一次“亡羊補牢”的契機，所有互聯網企業都應該借機排查安全隱患。否則，下一次就可能不只是虛驚一場了。

央行叫停虛擬信用卡

無獨有偶，與攜程信用卡數據泄露事件發生之前，央行剛剛叫停虛擬信用卡。央行官員對此的態度是，此次暫停相關業務是出于目前法律體系下風險防控的監管要求。

3月初，阿里巴巴宣布推出一款新的信用卡，該“虛擬”信用卡將在“支付寶錢包”的應用內亮相。阿里巴巴表示，該卡的實際運營方將是中信銀行，但申請人的信用可靠性將首次純粹基于消費者的在線購物記錄。

阿里巴巴宣布推出信用卡還不到24小時，騰訊表示也將通過微信推出自己的信用卡，最高信貸額度為5000元人民幣。騰訊新推信用卡的運營方也為中信銀行，但與阿里巴巴的信用卡不同的是，中信銀行將以傳統的信用審查方式對騰訊的信用卡進行發卡審批。

就在阿里巴巴和騰訊推出虛擬信用卡剛剛2天，中國央行暫時叫停了此類業務。

“所謂的虛擬信用卡，利用了互聯網技術、大數據等這些新的技術，使辦卡的流程大大簡化了，但是這種簡化和目前我們賬戶管理實名制以及反洗錢的一些有關要求是有明顯沖突的，為了防范這種法律風險，我們及時提出了監管的意見。”中國人民銀行支付結算司副司長樊爽文接收記者采訪時表示。

中國人民銀行支付結算司于3月14日向杭州中心支行支付結算處緊急下發了《關于暫停支付寶公司線下條碼（二維碼）支付等業務意見的函》（下稱“《函》”），暫停了支付寶公司新近推出的線下條碼（二維碼）支付、虛擬信用卡兩項創新業務。

關于虛擬信用卡，《函》的原文是：“在落實客戶身份識別義務、保障客戶信息安全等方面尚待進一步研究。”在線申請并一分鐘核卡是虛擬信用卡的最大賣點，而這一點卻直接違反現行法律規定。

《商業銀行信用卡業務監督管理辦法》第四十三條規定：“對首次申請本行信用卡的客戶，不得采取全程系統自動發卡方式核發信用卡。”另外，信用卡發卡環節要做到親訪（電話也算親訪）親簽，“親簽是指發卡銀行柜面受理人員或營銷人員要親自見到申請人本人簽名”。

很顯然，全程通過網絡核發信用卡無法做到親簽。另外，根據有關規定，信用卡的發卡主體只能是商業銀行，支付寶公司只是與商業銀行開展合作，為其提供潛在客戶與交易流水數據，因此，《函》直接針對支付寶似乎并不合理，而“暫停商業銀行與支付寶公司等合作發行信用卡”的措辭更貼切些。

由于虛擬信用卡的細節并未詳細披露，僅從媒體和相關公司披露的信息來看，虛擬信用卡與傳統信用卡的變革之處主要在于兩點：首先，核發環節實現快速自動化，但卻違背現有法規；其次，覆蓋了原先達不到信用卡服務門檻的人群，最大限度體現了互聯網金融的核心價值。至于基于客戶歷史交易流水做出信用分析（大數據）、引入保險（放心保）、網上消費這些市場上炒作的所謂新功能，其實現有信用卡均已具備（或很容易具備），不是真正的創新點。

銀聯風險專家表示，支付寶條碼支付的本質就是借助二維碼等條碼技術將線下刷卡支付轉換為線上交易，將低風險交易轉為高風險交易。條碼支付設備與POS專用設備相比，缺乏起碼的交易信息技術保障，也未經過任何專業的安全認證。支付過程中無法保障交易賬戶和訂單的安全性，無法體現真實交易場景的基本要求。從日常監測來看，這類支付的風險問題日益嚴重，容易引發系統性風險，一旦風險發生，還無法追查。對于銀聯干預央行決策的傳聞，中國銀聯給予了明確否認。

互聯網金融監管仍是大方向

雖然業內種種分析認為，互聯網信用卡被叫停安全問題只是其中一小部分原因。但是從目前國內互聯網金融的發展來看，安全問題確實需要重視。

中國支付清算協會副會長蔡洪波在出席中國支付體系發展高層論壇時就表示，對于目前被央行暫時叫停的虛擬信用卡和二維碼支付業務，“下一步要對其安全體系進行建立，然后達標，再來推廣這個應用，我覺得還是有可能這么做的。”

而央行方面也表示，此前被叫停的虛擬信用卡和二維碼支付將在第三方認證安全后放行。

業內分析人士認為，從客戶支付安全的角度出發，央行的擔憂其實并非多余。縱觀國內近兩年互聯網金融的發展，通過第三方支付和互聯網支付形式被詐騙財產的大有人在。

在今年年初，360手機安全專家就曾揭秘二維碼吸費的真相。用戶在搜二維碼的同時會在不知情的情況下安裝手機木馬從而造成財產損失。

而在本月，360發布的國內首個移動支付安全報告中也提及，目前移動支付面臨著巨大的安全隱患。購物及支付類木馬往往會使用一些最新的攻擊技術和攻擊方法，防范難度較大。這些木馬還會偽裝成各種不同的應用，誘騙用戶下載安裝。與此同時，詐騙短信、手機丟失成為移動支付安全的嚴重威脅之一，二維碼木馬釣魚詐騙和電子密碼器升級詐騙等則是目前針對移動支付流行的典型網絡騙術。

縱觀國際金融支付領域的現狀，支付系統的安全風險是目前國際金融都需要解決的一大問題。尤其是在信用業務和支付系統上，由于涉及的主體多為普通人，不確定性很大，一旦出現漏洞將會對金融系統帶來巨大沖擊。

從目前來看，國內對于互聯網金融的法規監管相對缺失。業內人士認為，應盡快完善互聯網金融監管體系，推動建立互聯網金融消費者權益保護的法律制度框架。

（本刊記者綜合整理）endprint