有句墨西哥諺語說“別跑得太快了,你會把靈魂跑丟的”。
中國高速發展的互聯網企業,不幸被這句諺語說中。
日前,國內在線旅游行業巨頭攜程旅行網陷入“泄密門”,攜程用戶信用卡信息面臨泄露風險,引發數用戶的恐慌。此后,更多的問題暴露出來(如攜程還在用戶不知情的情況下存儲了用戶信用卡的C V V碼等),讓用戶對安全漏洞憂心忡忡。
進入大數據時代,信息安全受到用戶的高度重視。然而,這兩三年以來,不斷傳出互聯網企業信息泄露事故,特別是前年密集曝光的快遞公司用戶資料泄露事故,去年10月份的“酒店開房信息遭泄露”事件,以及這次的攜程“泄密門”,泄露的信息越來越逼近用戶的核心利益。
世界上沒有完全可靠的安全防護措施,各種技術層面上的和管理層面上的安全漏洞,加上無孔不入的黑客入侵,使得信息安全如同高懸在用戶頭上的達摩克利斯之劍,隨時都有落下來的可能,誰也不知道下一次更嚴重的泄露事故何時會發生……
攜程陷“泄密門”
“各位注冊過攜程的,在攜程用信用卡支付過的,趕緊關掉信用卡網上支付吧,出大事了……”3月22日晚間,這條微信被瘋轉,并快速引發連鎖反應,洶涌的電話涌向農業銀行、交通銀行等攜程合作銀行,電話的主題只有一個:換卡或者解除捆綁。
這里所謂的“出大事”,就是有黑客曝光了攜程的安全漏洞。3月22日傍晚18點18分,一個編號為54302的漏洞報告,被曝光在互聯網安全問題反饋平臺烏云(wooyun.org)之上,發布者是烏云的核心白帽子黑客“豬豬俠”。烏云平臺這兩年因多次發布知名互聯網公司的安全漏洞,受到互聯網公司信息技術部門和專業人士的高度重視。但是,對于絕大多數普通人來說,烏云平臺完全是個陌生的詞匯,烏云平臺上發布的漏洞報告,也是與自己的生活八竿子也打不著。
然而,這次的漏洞報告卻是個例外。
黑客“豬豬俠”在報告中指出,攜程的一個漏洞會導致大量用戶銀行卡信息(包含持卡人姓名、身份證、銀行卡號、卡C V V碼、6位卡Bin)泄露,而這些信息可能直接引發盜刷等問題。攜程有著數千萬會員用戶,而攜程的漏洞可能導致信用卡盜刷,事關“錢袋子”,茲事體大!很快,各種版本的傳言,借助微信、微博以幾何倍增的速度傳開,“換卡”一時間成為傳播最為頻繁的熱詞。
“晚上回到家,打開微信一看,朋友圈里炒翻了天,都是說攜程泄露的事,都在提醒朋友們換卡。我在攜程上也捆綁了幾張信用卡,當時就慌了,馬上致電幾家銀行要求解除與攜程的捆綁。事關資金安全,寧可信其有,不可信其無。”家住廣州番禺南國奧園的潘小姐告訴南都記者。
據了解,攜程合作的銀行包括工商銀行、中國銀行、招商銀行、浦發銀行等十余家,第三方支付機構包括支付寶、財付通、銀聯在線等。在22日當晚,與攜程合作的上述銀行客服電話幾乎被打爆。
在漏洞報告掛出來兩個小時后,攜程方面做出回應稱,這是在技術調試過程中出現了短時漏洞,攜程在兩小時內修復了這個漏洞。攜程聲明,除了漏洞發現人做了少量的測試下載并已全部刪除外,沒有出現惡意下載有關數據的情況。攜程同時承諾,未來如果因安全漏洞引起用戶損失,將承擔全部責任并給予賠付,并強調“用戶在攜程的交易仍舊是安全的,用戶的信息安全沒有受到影響”。第二天,針對漏洞事件,攜程再次發表聲明,此次漏洞共涉及93名存在潛在風險的攜程用戶,客服已通知相關用戶更換信用卡。
然而,攜程的這份回應,并沒有打消用戶的顧慮。且隨著更多信息的披露(包括攜程用戶曝光的被盜刷案例,技術專家的分析等),攜程更多的問題被曝光,特別是攜程擅自保存用戶信用卡C V V碼(又叫用戶識別碼,是銀行卡進行非面對面交易時用于確認用戶身份的識別碼,作用類似于密碼)等信息,更是違反了中國人民銀行頒發的《銀行卡收單業務管理辦法》。
此后,攜程方面承認了非法存儲C V V碼一事。其補救措施是“我們將在交易完成后刪除客戶的CV V信息,不再保存。以前保存的那些CV V信息,正在予以刪除”。另外,客戶信用卡信息的傳輸和保存始終處于加密狀態,任何未經授權的人員都無法取得這些資料。攜程公關部相關負責人在接受南都記者采訪時強調:“我們已建立了信用卡安全服務小組,將協助客戶與銀行溝通。未來如果因攜程安全漏洞引起用戶損失,攜程將承擔全部責任并給予賠付。”
攜程漏洞的發現者“豬豬俠”在接受南都記者采訪時,對攜程的事都說不方便提,對攜程漏洞的危害性大不大這個問題,更是直言“不回答”。不過,知道創宇的研究部總監余弦告訴南都記者,這次攜程用戶反應過度了,絕大多數人都是技術門外漢,對信用卡安全的擔憂,造成了一種恐慌情緒。“烏云是在攜程對漏洞及時修復后才發布漏洞報告的,并沒有泄露信息,威脅沒想的那么大”。
被稱為“中國黑客教父”的龔蔚在接受南都記者采訪時則強調,從烏云方面的說法看,是把攜程這個漏洞的危害級別列為高級;從攜程方面披露的情況看,影響的用戶是93個,身份證號和姓名是明文,信用卡和C V V碼是強加密。如果攜程說的是真的話,這對一般黑客來說,破解是有難度的。
互聯網公司“命門”
“每一次數據泄密,都是黑客的一次狂歡。”在廣州開了家小型工作室的黑客鄭陽告訴南都記者。鄭陽的工作室對外號稱專注數據挖掘業務,其實主要業務就是為客戶獲取競爭對手的商業數據資料。“客戶資料數據是很多企業夢寐以求的東西,互聯網公司的客戶數據,動輒千萬級上億級,拿到手就能到地下黑市換錢。”
攜程“泄密門”,是近兩三年來諸多互聯網公司———包括那些深度融入互聯網的傳統公司,如連鎖酒店、快遞公司等———信息泄露事故的最新版本。在攜程“泄密門”之前,影響較大的信息泄露事件,就包括去年10月份的“酒店開房信息遭泄露”事件,2012年年底發生的快遞公司用戶資料泄露事故,以及2011年底發生的中國互聯網史上最大泄密事件:由國內最大的程序員社區C SD N上600萬用戶資料被公開拉開序幕,天涯社區、貓撲、開心網、多玩等多家知名互聯網公司先后被爆客戶注冊信息庫被泄密等。
在鄭陽看來,大數據時代,才是黑客的“黃金時代”,而高速發展的互聯網企業數據信息,則是黑客盤中的“美味佳肴”。“互聯網公司發展太快,各種安全機制根本跟不上。特別是那些中小互聯網公司,留下了大量的漏洞。”相對而言,大公司的信息安全配置相對較為靠譜,但老虎也有打盹的時候。“大公司一旦出現一些人為失誤,產生安全漏洞,黑客們就會像禿鷲一樣撲上去。當然,這一切常人都看不見。”
所幸的是,這次發現攜程安全漏洞的是白帽子黑客,這些白帽子黑客一般都會在發現漏洞后立即向相關公司發出警報,在公司修補好漏洞之后再向公眾公布。如果是被不懷好意的黑客發現了這個漏洞,那么,攜程“泄密門”的影響,絕不是現在這個局面。因為從目前披露的信息來看,攜程不但會保存客戶的信用卡卡號,連背后的三位C V V碼都會一并保存。后果自然是嚴重的:在境外,很多網站是不需要額外的密碼,只需要獲得這兩樣信息就能輕易地將信用卡里的錢劃走。
互聯網企業對信息安全投入的不足,給黑客狂歡創造了便利條件。
以廣州某知名電商公司為例,該公司年銷售規模近百億人民幣,但公司在信息安全上的投入明顯不足,其負責信息安全的團隊不足十人。“歐美互聯網公司在信息安全方面的投入,往往占到IT總支出的8%~10%左右,而中國互聯網公司在信息安全方面的投入只占到IT總投入的1%左右。相比而言,國內金融機構在信息安全上的投入往往會占到整體IT投入的10%以上。”在信息安全領域打拼了十余年的華夏創新科技有限公司副總裁盧德利告訴南都記者,“同樣是數億用戶,金融機構有著嚴格的信息安全管理機制,很少出人為失誤。但互聯網公司則有很多的人為安全漏洞,在這方面互聯網公司需要大補課。”
互聯網企業之所以成為信息泄露的重災區,在余弦看來,還有一個重要原因,就是以前線下的坑蒙拐騙都搬到了互聯網上,利用互聯網的各種漏洞進行違法犯罪活動。“互聯網打破了空間和區域的限制,又大大縮短了時間成本,這就讓騙子們的犯罪成本變得比以前低很多。而且現在互聯網的監管力度都比較松散,法律法規也比較復雜,導致這樣提供犯罪的機會就更多了。”
層出不窮的泄密
陳冠希“艷照門”已成往事,斯諾登泄密事件也只是老百姓茶余飯后的談資。然而,這兩三年不斷發生的快遞公司用戶資料泄密、連鎖酒店用戶資料泄密、信用卡資料泄密,則與普通老百姓的生活密切相關,自然備受關注。
用戶資料信息泄密的危害有多大?深圳的張雪女士(化名)談到這個話題仍然心有余悸。張雪是個淘寶迷,接收快遞是家常便飯。2011年國慶過后,有快遞人員給張女士打電話,說有快遞包裹送上門,讓張女士收一下。當時張女士和丈夫都在上班,家里只有婆婆一個人。張女士就打電話給婆婆讓婆婆開門簽收。“開門后,一個自稱是快遞公司工作人員的人徑直闖進房內,婆婆拼命想攔住也沒用,只有大聲呼叫。幸虧當時小區保安在附近巡邏,聞聲趕來,才將那個人抓住。后來經警察審訊,才知道這個人背后有一個團伙,專門從快遞公司購買用戶資料,然后根據用戶資料上的信息,要么欺騙用戶騙取錢財,要么就趁用戶家里人少干脆強行綁架搶奪。”
南都記者查詢發現,這兩年以來,國內多個地方都發生過假冒快遞人員上門送貨,實施搶劫、殺人、強奸等惡性犯罪的案件,信息泄露已經嚴重威脅到人們的生命財產安全。而連鎖酒店“開房信息泄露”事件,則因為涉及到很多人的隱私問題,讓很多人寢食難安。這次攜程“泄密門”事件引發公眾恐慌,則是因為公眾擔心自己捆綁的信用卡被盜刷。
烏云平臺曝光攜程的漏洞之后,很多攜程用戶在微信和微博上吐槽,講述自己信用卡被盜刷的慘痛經歷。新浪微博實名認證為“廣西易搜科技有限公司C E O”的“嚴茂軍”在微博上爆料稱,早在2月25日,他綁定在攜程的兩張雙幣種信用卡就被人在境外盜刷了1萬多元人民幣,共84筆。“我辦了6張信用卡,其中3張與攜程綁定,另外3張沒有綁定。出問題的交行信用卡和農行信用卡都是綁定的信用卡。看來攜程的漏洞此前一直都存在,只不過這次被烏云曝光了而已。”嚴茂軍告訴南都記者。
不過,獨立電商分析師李成東在接受南都記者采訪時卻表示,不應該片面夸大攜程“泄密門”對整個互聯網行業的負面影響。“這次的漏洞僅限于支付領域,并且是攜程自身的問題,不會引申到整個行業。攜程自己已經在做危機公關了,競爭對手也不會煽風點火,畢竟蔓延開來對整個行業都不好。”
灰色產業鏈
數據泄露之所以可怕,是因為天上有黑客這只禿鷲在盤旋。黑客不會放過稍縱即逝的機會。
大數據時代,用戶數據更是成為各大商家爭奪的香餑餑。而獲得用戶數據最“便捷”的方式,無疑就是通過黑客入侵。當然,對于那些“主動”暴露出來的數據,自然是喜逢甘露,照單全收。
鄭陽的黑客工作室,主要販賣兩類數據。一類就是網絡上到處都在掛牌銷售的所謂的“數據庫大全”,包括車主資料、保險用戶資料、信用卡用戶資料、手機用戶資料等等,這類數據需求量大,價格也便宜。廣州、深圳、東莞等重點城市超過10 0萬的車主資料,5萬個資料起賣。以前一個資料收費要1元,現在5毛、3毛都賣。金山公司安全專家李鐵軍告訴南都記者,自互聯網誕生之日起,互聯網用戶數據的交易就開始了。不少數據經過多次販賣,其中相當一部分都已經成了無效數據。不過,這并不妨礙有客戶繼續花錢購買這些信息。
另一類數據,就是根據客戶需求找到的“個性化數據資料”。“有些客戶想獲取競爭對手的用戶資料,或者公司的商業機密,這就需要通過技術手段進入對方的數據庫。大公司的網絡安全會嚴格一些,入侵難度較大。中小公司的數據庫在我眼里就是裸體。”鄭陽告訴南都記者。鄭陽表示,幫客戶找“個性化數據資料”的費用,相對要貴很多,“一般搞定一家中型企業的數據庫,會向客戶收幾萬的費用,這要視客戶的具體需求而定,幾千塊的也有。如果客戶要得急,難度又較高,十多萬的也有。”
華夏創新的盧德利告訴南都記者,數據泄露背后的產業鏈已經十分成熟,大家分工明確,有專門負責盜數據的,有負責販賣的。“交易主要集中在論壇、社交網站、黑客網站,就像一個菜市場,明碼標價,等著客戶上門。”
南都記者在Q Q上查找“車主資料”群,僅廣州地區就有7個相應的Q Q群。一位群主告訴記者,“我們有最新的廣州車主資料,包括:車牌車主、初登日期、發動機號、車架號等等,資料絕對真實可靠,如果有意可以先發幾個樣品讓你看看。”記者詢問這些資料的來源,對方以“商業機密”為由拒絕透露。見記者問得多了,就給記者回了句“考慮清楚了再聯系我”。
余弦告訴南都記者,地下數據交易異常活躍,主要是需求旺盛。“哪些人會需要這些數據,小的電商?不,任何一個公司都會想要這些數據,因為這些用戶數據拿來了,通過用戶屬性分析是可以提高生產力和工作效率的,這就是現在大數據時代,每個公司對數據的大量需求,這種需求本身是好的,但如果靠盜取、買賣數據的話就屬于偏門了。”
下一個火藥桶
互聯網公司一次又一次的數據泄露事故,不斷敲打著廣大網民脆弱的神經,不安全感就如同高懸在網民頭上的達摩克利斯之劍,隨時都有落下來的可能。而這次的攜程“泄密門”,更是讓網民切實體驗到危險就在身邊,恐慌在所難免。
在“中國黑客教父”龔蔚看來,這次攜程“泄密門”事件之所以引發網民高度關注,最重要的原因,是因為涉及信用卡資金安全。隨著互聯網企業與金融業聯系日益緊密,特別是這兩年互聯網金融大行其道,互聯網公司的用戶信息資料往往直接與用戶的資金安全相連,使得網民對互聯網公司的信息安全有著更高的要求。
相對于客戶信息資料這些“間接資產”,客戶支付寶、余額寶等等賬戶里的現金,對黑客而言誘惑力自然更大。這也是為什么釣魚網站、短信欺詐長盛不衰的原因所在。互聯網金融高速發展,但相關的安全防護卻與傳統金融機構不可同日而語。對于互聯網金融來說,便捷和安全是博弈的兩方,如何平衡是值得網絡公司深思的問題。其實,包括支付寶、財付通在內的網上支付平臺,都會推廣綁定銀行卡的快捷支付功能,這就埋下了巨大的安全隱患。因此,互聯網金融很有可能成為下一個數據泄露的“火藥桶”,而這個火藥桶一旦被點燃,后果幾乎不敢想象。
以阿里的余額寶為例,如今的余額寶開戶數超過8000萬戶,規模已經接近5000億元人民幣。如果支付寶、余額寶這樣的互聯網金融產品出現安全問題,那將是致命的問題。“現在不少支付寶、余額寶賬戶里的現金都是幾萬幾十萬的,如果這些賬戶資料被第三方獲取,那風險就太大了。”龔蔚表示,“整個狀況還是令人擔憂的。這次攜程的“泄密門”引發了恐慌,影響很大。不過反過來這種大反應也是好的,對一些互聯網安全,第三方支付的企業敲響了警鐘,更督促企業在安全方面的投入會更重視。”
監管層顯然也意識到問題的嚴重性。早在今年初舉辦的2014年中國互聯網金融高層論壇上,中國銀監會副主席郭利根就明確要求,互聯網金融要牢牢守住信息安全底線,增強互聯網金融的風險抵御能力,真正促進互聯網金融行業健康發展。郭利根的話音剛落不久,攜程就出事,加強互聯網金融安全監管的呼聲日高,互聯網金融產業壓力陡增。可以預見的是,未來互聯網安全將會上升到一個前所未有的高度。
[鏈接]風控小失誤致客戶資料網上“裸奔”
中國電子商務研究中心發布最新研究報告指出,攜程發生信息泄露原因如下:根本原因一:違反銀聯規定本地保存銀行卡信息。攜程用于處理用戶支付的安全支付服務器接口存在調試功能,將用戶支付的記錄用文本保存了下來。而根據《銀聯卡收單機構賬戶信息安全管理標準》中明令禁止本地保存銀行卡信息;根本原因二:服務器安全配臵不嚴格。攜程用于保存支付日志的服務器未做較嚴格的基線安全配臵,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意黑客讀取。
顯然,第一條原因說明攜程為了達到自己的商業目的;而第二條原因則更說明攜程在內部風控上缺乏嚴格的機制,工作人員的小小失誤,就讓客戶資料在網絡上“裸奔”。“并沒有黑客入侵,攜程這次泄露事故,更多是管理層面的原因而不是技術層面的問題。”IT評論員賈敬華分析指出。
京公網安備 11010502049343號