攜程“漏洞門”只是冰山一角

文 《法人》特約撰稿 董毅智

攜程“漏洞門”只是冰山一角

文 《法人》特約撰稿 董毅智

在網(wǎng)絡支付技術層面存在漏洞和缺陷，是不可避免的，如果因此遭到泄密，用戶還可以找到為他辯解的理由。但是涉及到存儲用戶信息、明文保存用戶密碼，這類不規(guī)范操作，這就事關網(wǎng)絡企業(yè)道德底線，和用戶對網(wǎng)絡企業(yè)的信任

3月22日，漏洞報告平臺烏云網(wǎng)披露了攜程信息安全漏洞問題。

漏洞發(fā)現(xiàn)者稱，攜程開啟了用戶支付服務借口的調試功能，支付過程中的調試信息可被任意駭客讀取，可能導致大量用戶銀行卡信息泄露 (包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)。

事件發(fā)生后，攜程方面在微博上“向用戶誠懇道歉”，并稱已在兩小時內修復了這個漏洞，攜程用戶信息未受影響。

但在“申明”中，攜程對泄密事件的細節(jié)卻含糊其辭，沒有直面錯誤的勇氣。盡管漏洞僅持續(xù)了兩個多小時就被修復，但事件引發(fā)的恐慌并未就此止住，攜程泄密的“余波”還在回蕩中，這則“可被任意駭客讀取”的消息總是無法消除用戶心中的疑慮。

“漏洞門”并非個案

類似攜程的泄密事件絕非個例。2012年CSDN事件在前，兩年后攜程事件歷史再現(xiàn)。只不過CSDN被泄密的部分是歷史數(shù)據(jù)庫，不是金融數(shù)據(jù)；此次攜程泄密的是正在支付的數(shù)據(jù)，是用戶的銀行卡信息。所以，攜程泄密的后果可能比CSDN泄密事件的后果要嚴重。

根據(jù)烏云平臺及攜程方面的神明，用戶的個人支付信息，比如攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息都可能遭外泄。這也是為什么很多用戶心急火燎地著急更換信用卡的原因所在。

在CSDN事件之后，無論是用戶，還是網(wǎng)站平臺，對于用戶的個人信息安全問題，是互聯(lián)網(wǎng)發(fā)展的硬傷。

最引起業(yè)內外廣泛反思的，就是明文存儲用戶密碼信息的問題。而且北京有關部門甚至還因此向CSDN網(wǎng)運營公司作出行政警告處罰。

攜程可好，有了CSDN等多位前輩的前車之鑒，仍然無法成為“后事之師”。如此嚴重的教訓后不過兩年光景，攜程在同一塊石頭上再次絆倒。

攜程在手，說泄就泄

魚與熊掌不可兼得，舍魚而取熊掌也。便捷與安全不可兼得，舍安全而取便捷也。說起攜程泄密時間的根本問題，只能說在利益選擇問題上，攜程“自私走一回”，最后“不留心”就被狠狠絆了一腳。

現(xiàn)在網(wǎng)絡信用卡支付之所以發(fā)展迅速，與其異常簡單的流程密不可分。比如之前有媒體報道，攜程網(wǎng)會員如果多次購買支付酒店或機票價款后，只需提供卡號后四位及CVV2碼，攜程網(wǎng)就會完成下一次支付操作。

表面上看，攜程是為了提升客戶體驗，簡潔了流程，在競爭地位中獲得優(yōu)勢。但實質上，這種優(yōu)勢卻是以用戶安全為代價換來的。

在攜程事件中，被問到的問題最多的恐怕是攜程為什么要“將用戶支付的記錄用文本保存了下來”。客觀說來，在網(wǎng)絡支付技術層面存在漏洞和缺陷，是不可避免的，如果因此遭到泄密，用戶還可以找到辯解的理由。但是涉及到存儲用戶信息、明文保存用戶密碼，這類不規(guī)范操作，就事關網(wǎng)絡企業(yè)道德底線和用戶對網(wǎng)絡企業(yè)的信任。

按照銀聯(lián)2008年發(fā)布的《銀聯(lián)卡收單機構賬戶信息安全管理標準》2.1條，各收單機構系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。攜程存儲用戶信息，甚至明文保存用戶密碼的違規(guī)操作，顯然已經(jīng)涉嫌違法。

攜程的廣告語是“攜程在手，說走就走”，可這“說泄密，就泄密”，將用戶的安全和利益置于何地？雖說攜程在操作中也許并沒有存有邪念，但是放任的助長心態(tài)也多多少少反映出當前中國互聯(lián)網(wǎng)界整體安全意識淡薄的現(xiàn)狀。

網(wǎng)絡安全，防君子不防小人

“棱鏡！”這兩個關乎所有互聯(lián)網(wǎng)隱私泄密事件的字眼，一經(jīng)公開，就在全世界范圍內“炸開”，引起了世界范圍內的廣泛關注。作為事件的主角，美國中央情報局前雇員愛德華·斯諾登所透露出的很多信息，讓世界各國當然也包括我國網(wǎng)絡信息安全等產業(yè)堪憂！

據(jù)斯諾登稱，自2007年的小布什時期開始，美國情報機構一直在九家美國互聯(lián)網(wǎng)公司中進行數(shù)據(jù)挖掘工作。美國國家安全局也一直通過路由器等設備，監(jiān)控中國網(wǎng)絡和電腦。其中包括兩個秘密監(jiān)視項目：一是民眾電話的通話記錄；二是民眾的網(wǎng)絡活動。

爆料還稱，大家所熟知的谷歌、facebook、skype、youtube等九大公司遭到參與間諜行為的指控。并且之后，facebook、微軟兩公司首次承認，美國政府確曾向它們索要用戶數(shù)據(jù)，并公布了部分資料數(shù)據(jù)內容。

據(jù)傳，就在攜程泄密事件之后不久，有媒體稱美國國家安全局曾經(jīng)入侵到中國企業(yè)華為總部的服務器，并試圖取得機密信息。

國際巨頭華為也沒能幸免于難，可見安全無小事，網(wǎng)絡安全防不勝防?；ヂ?lián)網(wǎng)信息安全的保護，就像是別墅周圍的矮籬笆，只防坦蕩蕩的君子，防不了長戚戚的小人。

劍指泄密法律空白

用戶作為消費者，是《消費者權益保護法》的保護對象。按照“消法”的規(guī)定，消費者在消費中享有安全權。這里的安全權不僅僅是指身體安全，也包括財產安全。

攜程明文保存用戶密碼信息的違規(guī)操作，違反銀聯(lián)規(guī)定，將用戶的安全置于危險之地，用戶的損失與攜程脫不了干系。希望攜程的承諾“未來如果因安全漏洞引起用戶損失，攜程將承擔全部責任并給予賠付”將會兌現(xiàn)，也不枉負用戶的“一往信任”。

攜程泄密事件，我們要做的不僅僅是眼睜睜看著用戶信息安全在網(wǎng)絡“黑洞”面前的無力和無奈。除此之外，在法律層面帶給我們更多的是反思和警醒。關于用戶信息安全，相關法律是否完善？網(wǎng)絡安全中的刑事、行政、民事等各類法律關系能否界定？被泄密的用戶損失如何界定？相關主體是否提供了公平、安全的行為準則？相關行業(yè)是否形成了相應的行業(yè)標準？司法機關對于相關類型的新型犯罪和糾紛，是否有了最起碼的司法準繩？誰有責任向用戶普及最基本的網(wǎng)絡安全常識？

諸如此類的疑問，已經(jīng)成為現(xiàn)時亟待回答的問題，這也已經(jīng)足夠給各個部門敲響維護用戶信息安全的警鐘。

攜程的廣告語是“攜程在手，說走就走”，可這“說泄密，就泄密”，將用戶的安全和利益置于何地？雖說攜程在操作中也許并沒有存有邪念，但是放任的助長心態(tài)也多多少少反映出當前中國互聯(lián)網(wǎng)界整體安全意識淡薄的現(xiàn)狀。