理財周報記者王小莓見習(xí)記者王俊丹/上海報道
葉亞明萬萬沒有想到,他在攜程網(wǎng)大干快上的技術(shù)改造升級給其OpenStack團隊造成巨大壓力。這位攜程網(wǎng)新任技術(shù)副總裁自上任始,便對整個技術(shù)構(gòu)架進行大刀闊斧的改革。
成也蕭何,敗也蕭何。
烏云漏洞平臺上披露的一則信用卡支付“漏洞”,讓雄心勃勃的葉亞明絆了個大跟頭。這個漏洞散列是:bf9165488f5e2ea3ca02ec6b310446b0。
雖然在此前,烏云網(wǎng)已經(jīng)連續(xù)披露京東商城、支付寶、網(wǎng)易等國內(nèi)著名互聯(lián)網(wǎng)企業(yè)在用戶信息安全防護中存在高危漏洞。然而,此次對于攜程漏洞的詳細描述——“通過信用卡支付的攜程網(wǎng)用戶姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼等信息已有可能被黑客所讀取”挑起了公眾的敏感神經(jīng)。
對于信用卡的這個“驚天漏洞”此前已陸續(xù)有媒體曝光,在線OTA網(wǎng)站無卡無密碼支付也是行業(yè)通病,但卻使攜程落馬了。
攜程的技術(shù)研發(fā)部和信息安全部在業(yè)界頗具聲名,完全自建的攜程IT系統(tǒng)包括網(wǎng)站系統(tǒng)、在線交易系統(tǒng)、采購系統(tǒng)等子業(yè)務(wù)系統(tǒng),從復(fù)雜性上來說,能與之媲美的唯有淘寶。
但關(guān)鍵是技術(shù)研發(fā)部與信息安全部之間存在微妙的博弈關(guān)系,攜程的漏洞表面上源于部門員工偶然的失誤,實際則是OTA(在線旅游代理)企業(yè)惡性競爭的必然結(jié)果。
他們的解釋
在線旅游市場群雄逐鹿,占有市場份額最大的攜程作為先行者一度領(lǐng)跑,過著一家獨大的好日子。然而,隨著藝龍、去哪兒等競爭對手的崛起,其龍頭地位早已岌岌可危。商業(yè)模式上,攜程依然仰仗著十幾年前創(chuàng)業(yè)之初確立的呼叫中心帶來業(yè)務(wù)量,而老對手藝龍早已在革命,砍掉線下發(fā)卡渠道全力發(fā)展線上銷售。
而攜程依然按兵不動,直到葉亞明的出現(xiàn)。
作為OTA行業(yè)的老大,經(jīng)過十多年的發(fā)展,攜程逐步構(gòu)建出自己的護城河——強大的IT系統(tǒng)。而這個核心部門一直以來頗為神秘,理財周報(微信公眾號:Money-week)記者輾轉(zhuǎn)找到內(nèi)部人士也拒絕媒體采訪。理財周報記者遂多方打聽,試圖揭開其鮮為人知的一角。
攜程的IT系統(tǒng)復(fù)雜且龐大,完全靠內(nèi)部一步一步搭建。葉亞明到任后,在攜程完成了幾次重要的技術(shù)改進。據(jù)中國軟件[-1.93% 資金 研報]開發(fā)聯(lián)盟CSDN公開資料顯示,攜程技術(shù)改造升級分別布局于前后端。在網(wǎng)站前臺進行頁面改版,后臺以O(shè)pen API(開放應(yīng)用程序編程接口)的方式開放平臺資源,同時成立數(shù)據(jù)中心進行大數(shù)據(jù)處理。
云技術(shù)只是葉亞明的小試牛刀,他更大的野心在對公司技術(shù)架構(gòu)的革新,目前的攜程已經(jīng)采用OpenStack這一云計算平臺來搭建。
他在布一個長遠的局。
在葉亞明眼中,無線端的業(yè)務(wù)增長速度在未來將會遠遠超過呼叫中心。在新的架構(gòu)下,可以將實體機器完全虛擬化。比如增加300個人,產(chǎn)生300個虛擬機器就可以了,雖然人數(shù)增加,但管理機器的數(shù)量沒有變化,這就會提升效率。
可以想見,如果這一切都萬無一失的話,這堪稱葉亞明在攜程的偉大戰(zhàn)役。
但是,理財周報記者查閱中國軟件開發(fā)聯(lián)盟CSDN的公開資料時發(fā)現(xiàn),攜程的OpenStack團隊總共加起來不到二十人,其中核心技術(shù)人員只有六七名,相比龐大的呼叫中心和無線端業(yè)務(wù)人員可謂九牛一毛。
千里之堤,毀于蟻穴。
就是這個搭建了龐大系統(tǒng)的部門,不久前卻因技術(shù)人員操作不謹慎,被黑客抓住把柄。
3月22日下午,烏云漏洞平臺發(fā)布消息稱,攜程系統(tǒng)存在技術(shù)漏洞,可導(dǎo)致用戶個人信息、銀行卡信息等泄露。當晚11點,攜程技術(shù)人員對漏洞進行確認。23日早上7點,攜程官方消息稱漏洞已經(jīng)修補。
據(jù)烏云網(wǎng)的說法,攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能,使部分向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。
而攜程公關(guān)部針對事件原因接受理財周報記者采訪時表示:“漏洞是攜程技術(shù)人員在對某個服務(wù)器進行系統(tǒng)問題排查時,留下臨時日志未及時刪除所致。”
關(guān)于技術(shù)排查,相關(guān)網(wǎng)站技術(shù)人員對理財周報記者進行了詳細描述:“所有網(wǎng)站在這一點上都是類似的,網(wǎng)站技術(shù)人員會定期對每個服務(wù)器進行掃描,主要為了發(fā)現(xiàn)潛在的漏洞,并進行修補。這種掃描,有些網(wǎng)站由自己完成,也有會通過第三方機構(gòu)掃描,由他們出具漏洞清單和修補意見。”
這種掃描漏洞的部門又稱為信息安全部或者是風(fēng)險控制部門,在攜程內(nèi)部有獨立的信息安全部門專門負責(zé)漏洞掃描和排查工作,但此次的漏洞卻為第三方平臺烏云網(wǎng)所發(fā)布。
攜程公關(guān)部對此向記者表示:“這部分信息也是處于加密狀態(tài),即使拿到信息也要通過破解才能讀取。”這對黑客而言并非難事。
與此同時,理財周報記者致電另一家OTA企業(yè),在其網(wǎng)站支付時與攜程一樣無卡無密即可成功。其CEO表示:“我們不是明文保存的,我們是加密保存的,攜程這個案例我們也看了,但具體情況不是很清楚。”對于當時未付款的客戶信息,也沒有規(guī)定保存客戶敏感信息7天,具體也是由研發(fā)和審計法務(wù)的風(fēng)控部門負責(zé)。
京公網(wǎng)安備 11010502049343號