支付安全事件影响在线旅游业

旅游团黑客事件

不如说是信誉上的危机,这次的事件与其说是技术上的漏洞,对携程来说,同时也让我们看到了安全的重要性：建立用户信任可能需要若干年,毁掉它却只需要一天。

【旅游圈】（编辑MenaWei）22日晚间,旅游圈（）在第一时间联系到该漏洞的发布者猪猪侠,旅游圈联系携程方面,猪猪侠回复称漏洞按正规披露流程已通知厂商携程,该漏洞早已堵上,携程相关负责人给予答复（详见《,乌云漏洞平台爆出携程服务器存在信用卡安全支付漏洞。

93名潜在风险用户已被通知换卡。

其余携程用户用卡安全不受影响。

乌云（Woo Yun）漏洞平台发布消息称：“携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,3月22日18:18,有可能被黑客所读取,”。

携程立即展开技术排查,因疏忽未及时删除,这些信息已被全部删除,经查,携程的技术开发人员之前是为了排查系统疑问,对此,并在两小时内修复了这个漏洞,留下了临时日志,目前。

携程客服于今日（3月23日）通知相关用户更换信用卡,没有接到携程客服换卡通知的用户,请留意携程客服联络呼出电话号码：021-51069999,内容含有极少量加密卡号信息,银行方面也会尽快协助用户办理换卡手续,共涉及93名存在潜在风险的携程用户,截至3月23日22：00,个人信息均是安全的,经携程排查,为防电话诈骗,仅漏洞发现人做了测试下载,无需担心,021-51012299。

没有发生携程用户信用卡被盗刷的情况,携程已通知存在潜在风险的93名用户更换信用卡,对于此事给广大用户带来的困扰,未来如果因安全漏洞引起用户损失,3月22日晚至3月23日,经各银行反馈,截至目前,携程表示诚挚的歉意,携程承诺,携程将承担全部责任并给予赔付。

奖励为携程找出漏洞的信息安全卫士,携程将广邀信息安全卫士,携程已建立安全应急响应中心（）,携程将邀请国际知名信息安全认证机构,上周,同时,并设立了总额500万的信息安全奖励基金,一起来加固系统信息安全,为了更好地保障用户及网站的安全,来共同保障用户的个人信息安全。

引发公众的质疑与集体担忧。

大量媒体争相报道,这无疑大大刺激了媒体的兴奋性,携程信用卡安全支付出现漏洞,其中不乏捕风捉影、耸人听闻的内容,而公众的反应也在意料之中,主要有如下几种：。

对影响结果的质疑：携程22日晚间发布的通告称收影响的主要为3月21日与3月22日的部分交易客户,而对具体影响到了多少客户,影响面有多大,尚不清楚,如果能具体给出时间点,或许更令人信服。

客户换卡引起的相关费用、换卡期间信用卡停用带来的影响、换卡之后可能引发的信用卡安全方面的风险,23日携程的声明中通知存在潜在风险的93名用户更换信用卡,对处理结果的质疑：对处理结果的质疑主要在没有及时公布客户如何应对此次漏洞事件可能带来的安全隐患及如何赔偿客户损失方面,携程是否有承担的义务,有网友认为。

而携程此时或许该站出来,携程不应该存储客户的CVV信息,对携程支付安全的质疑：汽车之家创始人李想在微博上认为,对此有明确的解释,需要输入CVV和存储CVV是两个概念。

第三方支付受波及 旅游行业影响巨大。

不绑定信用卡,很多在支付宝、微信上绑定信用卡的都表示要取消绑定,众多客户纷纷要求更换信用卡,各大银行的客服忙不过来了,直接在微博上宣称“坚持不用网银,此次漏洞信息报曝光后,在笔者的朋友圈里,而由近四百万粉丝的作家高群书则更离谱,是十分正确的,”公众的质疑与恐慌性情绪可见一斑。

但因为安全支付的漏洞出现,调低网银及信用卡的第三方网络支付的额度……据媒体报道,虽然调低的是快捷支付额度,四大行中的工行、农行、中行相继调低了支付宝快捷支付的额度,巧合的是,就在昨天,部分银行的储蓄卡快捷支付限额下调至单笔5千元、每月5万元,腾讯财付通及微信支付不在此次限额调整范围内,难保银行不会以安全风险为由。

已经支持分批次的在线支付,影响最大的应该是国内长线与出境产品的在线支付,支付限额下调对旅游产品的在线支付肯定有一定影响,国内长线与出境产品价格低于5千元的几乎很少很少,而对于高于5万元的出境游产品或高端产品,对高于5千元的产品,必须分批次支付至少2次,还几乎没法在线支付完成,如果使用快捷支付,腾讯投资的同程旅游在21日推出的新版APP,也就意味着,对不起,据了解。

但网络信息安全、风险,并试图取得机密信息,虽然腾讯投资了同程网,也有传闻称阿里巴巴意欲投资携程,互联网信息安全越发像是一道虚掩的门,依然将影响着在线旅游,更要命的是,就在今天,据媒体报道,斯诺登所泄露的文件显示,美国安局曾经入侵到中国企业华为总部的服务器,监控通讯,国际巨头华为尚且如此,仅能防备身无一技的君子。

关于技术解读

但对安全漏洞后面更深层次的原因,从某个技术领域,都聚焦在携程安全漏洞,也许前阿里巴巴集团高级安全专家、安全宝联合产品副总裁吴翰清的《关于携程的信用卡信息泄露》这篇文章,小编对这个领域也是一头雾水,会让大家更清楚的认识到一些安全事实,包括技术、环境方面的解读却甚少,以下是文章内容：,这次媒体的报道,眼看着公众一片恐慌。

虽然他们可能并不了解真正发生了什么,具体过程我就不赘述了,媒体是不会放过这样的机会的,可能很多朋友比较关心昨天乌云爆出的携程信用卡信息泄露的漏洞,因为明天肯定是铺天盖地的新闻。

但媒体的动作却放大了这件事情的负面效应,不知道明天携程的股价会不会因此受影响。

PCI-DSS是「第三方支付行业数据安全标准」,这次的事件很多评论文章都没有提到PCI-DSS标准,哪些信息是不能保存（尤其是明文保存）的（比如CVV等敏感信息）,而在PCI-DSS标准中,以及哪些信息是可以保存,哪篇不靠谱,其实通过这个简单的维度就可以判断哪篇评论靠谱,必须要过这个标准,因此携程这次是明确的违反了PCI-DSS的相关规定,凡是要做第三方支付业务,明确的定义了如何实施数据保护,由VISA与MasterCard牵头制定,想在美国上市。

实施PCI-DSS的安全公司可能会给客户提交一大堆文档,但真正认真去落地的公司越来越少了,所以通过了安全标准并不意味着什么,因为携程在上市的时候肯定是通过了PCI-DSS标准的,对认证的审核必然不会太过严格,比如PCI-DSS的要求会产生很多衍生的安全需求,他们把这里面的大部分利益给分了,在利益关联之下,由此也可以看出一些安全标准从实施到维持是何等的艰难,而VISA也投了一些安全公司,含金量越来越低,而「安全标准」、「合规」的要求现在已经沦落为一门生意,只是花钱买了个牌照而已。

我相信这个漏洞的提交者「猪猪侠」并不会将这部分数据用于恶意用途,就不会把漏洞提交给乌云了,但携程是否还存在其他问题却不得而知,这次的事件按照携程官方的解释是出于调试的目的记录了临时日志,未发现其他数据泄露,共涉及到93名用户,因为他在业内的口碑非常好,且如果想这么干。

我相信还有很多公司比携程做的更糟糕,否则类似的问题短期内还是很难避免,特别是一些还没有上市,可能会产生恐慌心理而要求银行更换信用卡,但除非你以后不再用网上信用卡支付了,更缺乏规范,没有通过PCI-DSS认证的公司,对于用户而言,只是这些问题没有被暴露在阳光下,因此你不知道而已。

不如说是信誉上的危机,这次的事件与其说是技术上的漏洞,对携程来说,同时也让我们看到了安全的重要性：建立用户信任可能需要若干年,毁掉它却只需要一天。

本文编辑：MenaWei。