文 《法人》特約撰稿 董毅智

攜程“漏洞門(mén)”只是冰山一角

文 《法人》特約撰稿 董毅智

在網(wǎng)絡(luò)支付技術(shù)層面存在漏洞和缺陷，是不可避免的，如果因此遭到泄密，用戶還可以找到為他辯解的理由。但是涉及到存儲(chǔ)用戶信息、明文保存用戶密碼，這類不規(guī)范操作，這就事關(guān)網(wǎng)絡(luò)企業(yè)道德底線，和用戶對(duì)網(wǎng)絡(luò)企業(yè)的信任

3月22日，漏洞報(bào)告平臺(tái)烏云網(wǎng)披露了攜程信息安全漏洞問(wèn)題。

漏洞發(fā)現(xiàn)者稱，攜程開(kāi)啟了用戶支付服務(wù)借口的調(diào)試功能，支付過(guò)程中的調(diào)試信息可被任意駭客讀取，可能導(dǎo)致大量用戶銀行卡信息泄露 (包含持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin)。

事件發(fā)生后，攜程方面在微博上“向用戶誠(chéng)懇道歉”，并稱已在兩小時(shí)內(nèi)修復(fù)了這個(gè)漏洞，攜程用戶信息未受影響。

但在“申明”中，攜程對(duì)泄密事件的細(xì)節(jié)卻含糊其辭，沒(méi)有直面錯(cuò)誤的勇氣。盡管漏洞僅持續(xù)了兩個(gè)多小時(shí)就被修復(fù)，但事件引發(fā)的恐慌并未就此止住，攜程泄密的“余波”還在回蕩中，這則“可被任意駭客讀取”的消息總是無(wú)法消除用戶心中的疑慮。

“漏洞門(mén)”并非個(gè)案

類似攜程的泄密事件絕非個(gè)例。2012年CSDN事件在前，兩年后攜程事件歷史再現(xiàn)。只不過(guò)CSDN被泄密的部分是歷史數(shù)據(jù)庫(kù)，不是金融數(shù)據(jù)；此次攜程泄密的是正在支付的數(shù)據(jù)，是用戶的銀行卡信息。所以，攜程泄密的后果可能比CSDN泄密事件的后果要嚴(yán)重。

根據(jù)烏云平臺(tái)及攜程方面的神明，用戶的個(gè)人支付信息，比如攜程用戶持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin等信息都可能遭外泄。這也是為什么很多用戶心急火燎地著急更換信用卡的原因所在。

在CSDN事件之后，無(wú)論是用戶，還是網(wǎng)站平臺(tái)，對(duì)于用戶的個(gè)人信息安全問(wèn)題，是互聯(lián)網(wǎng)發(fā)展的硬傷。

最引起業(yè)內(nèi)外廣泛反思的，就是明文存儲(chǔ)用戶密碼信息的問(wèn)題。而且北京有關(guān)部門(mén)甚至還因此向CSDN網(wǎng)運(yùn)營(yíng)公司作出行政警告處罰。

攜程可好，有了CSDN等多位前輩的前車之鑒，仍然無(wú)法成為“后事之師”。如此嚴(yán)重的教訓(xùn)后不過(guò)兩年光景，攜程在同一塊石頭上再次絆倒。

攜程在手，說(shuō)泄就泄

魚(yú)與熊掌不可兼得，舍魚(yú)而取熊掌也。便捷與安全不可兼得，舍安全而取便捷也。說(shuō)起攜程泄密時(shí)間的根本問(wèn)題，只能說(shuō)在利益選擇問(wèn)題上，攜程“自私走一回”，最后“不留心”就被狠狠絆了一腳。

現(xiàn)在網(wǎng)絡(luò)信用卡支付之所以發(fā)展迅速，與其異常簡(jiǎn)單的流程密不可分。比如之前有媒體報(bào)道，攜程網(wǎng)會(huì)員如果多次購(gòu)買(mǎi)支付酒店或機(jī)票價(jià)款后，只需提供卡號(hào)后四位及CVV2碼，攜程網(wǎng)就會(huì)完成下一次支付操作。

表面上看，攜程是為了提升客戶體驗(yàn)，簡(jiǎn)潔了流程，在競(jìng)爭(zhēng)地位中獲得優(yōu)勢(shì)。但實(shí)質(zhì)上，這種優(yōu)勢(shì)卻是以用戶安全為代價(jià)換來(lái)的。

在攜程事件中，被問(wèn)到的問(wèn)題最多的恐怕是攜程為什么要“將用戶支付的記錄用文本保存了下來(lái)”?？陀^說(shuō)來(lái)，在網(wǎng)絡(luò)支付技術(shù)層面存在漏洞和缺陷，是不可避免的，如果因此遭到泄密，用戶還可以找到辯解的理由。但是涉及到存儲(chǔ)用戶信息、明文保存用戶密碼，這類不規(guī)范操作，就事關(guān)網(wǎng)絡(luò)企業(yè)道德底線和用戶對(duì)網(wǎng)絡(luò)企業(yè)的信任。

按照銀聯(lián)2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》2.1條，各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、差錯(cuò)處理所必需的最基本的賬戶信息，不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期。攜程存儲(chǔ)用戶信息，甚至明文保存用戶密碼的違規(guī)操作，顯然已經(jīng)涉嫌違法。

攜程的廣告語(yǔ)是“攜程在手，說(shuō)走就走”，可這“說(shuō)泄密，就泄密”，將用戶的安全和利益置于何地？雖說(shuō)攜程在操作中也許并沒(méi)有存有邪念，但是放任的助長(zhǎng)心態(tài)也多多少少反映出當(dāng)前中國(guó)互聯(lián)網(wǎng)界整體安全意識(shí)淡薄的現(xiàn)狀。

網(wǎng)絡(luò)安全，防君子不防小人

“棱鏡！”這兩個(gè)關(guān)乎所有互聯(lián)網(wǎng)隱私泄密事件的字眼，一經(jīng)公開(kāi)，就在全世界范圍內(nèi)“炸開(kāi)”，引起了世界范圍內(nèi)的廣泛關(guān)注。作為事件的主角，美國(guó)中央情報(bào)局前雇員愛(ài)德華·斯諾登所透露出的很多信息，讓世界各國(guó)當(dāng)然也包括我國(guó)網(wǎng)絡(luò)信息安全等產(chǎn)業(yè)堪憂！

據(jù)斯諾登稱，自2007年的小布什時(shí)期開(kāi)始，美國(guó)情報(bào)機(jī)構(gòu)一直在九家美國(guó)互聯(lián)網(wǎng)公司中進(jìn)行數(shù)據(jù)挖掘工作。美國(guó)國(guó)家安全局也一直通過(guò)路由器等設(shè)備，監(jiān)控中國(guó)網(wǎng)絡(luò)和電腦。其中包括兩個(gè)秘密監(jiān)視項(xiàng)目：一是民眾電話的通話記錄；二是民眾的網(wǎng)絡(luò)活動(dòng)。

爆料還稱，大家所熟知的谷歌、facebook、skype、youtube等九大公司遭到參與間諜行為的指控。并且之后，facebook、微軟兩公司首次承認(rèn)，美國(guó)政府確曾向它們索要用戶數(shù)據(jù)，并公布了部分資料數(shù)據(jù)內(nèi)容。

據(jù)傳，就在攜程泄密事件之后不久，有媒體稱美國(guó)國(guó)家安全局曾經(jīng)入侵到中國(guó)企業(yè)華為總部的服務(wù)器，并試圖取得機(jī)密信息。

國(guó)際巨頭華為也沒(méi)能幸免于難，可見(jiàn)安全無(wú)小事，網(wǎng)絡(luò)安全防不勝防?；ヂ?lián)網(wǎng)信息安全的保護(hù)，就像是別墅周圍的矮籬笆，只防坦蕩蕩的君子，防不了長(zhǎng)戚戚的小人。

劍指泄密法律空白

用戶作為消費(fèi)者，是《消費(fèi)者權(quán)益保護(hù)法》的保護(hù)對(duì)象。按照“消法”的規(guī)定，消費(fèi)者在消費(fèi)中享有安全權(quán)。這里的安全權(quán)不僅僅是指身體安全，也包括財(cái)產(chǎn)安全。

攜程明文保存用戶密碼信息的違規(guī)操作，違反銀聯(lián)規(guī)定，將用戶的安全置于危險(xiǎn)之地，用戶的損失與攜程脫不了干系。希望攜程的承諾“未來(lái)如果因安全漏洞引起用戶損失，攜程將承擔(dān)全部責(zé)任并給予賠付”將會(huì)兌現(xiàn)，也不枉負(fù)用戶的“一往信任”。

攜程泄密事件，我們要做的不僅僅是眼睜睜看著用戶信息安全在網(wǎng)絡(luò)“黑洞”面前的無(wú)力和無(wú)奈。除此之外，在法律層面帶給我們更多的是反思和警醒。關(guān)于用戶信息安全，相關(guān)法律是否完善？網(wǎng)絡(luò)安全中的刑事、行政、民事等各類法律關(guān)系能否界定？被泄密的用戶損失如何界定？相關(guān)主體是否提供了公平、安全的行為準(zhǔn)則？相關(guān)行業(yè)是否形成了相應(yīng)的行業(yè)標(biāo)準(zhǔn)？司法機(jī)關(guān)對(duì)于相關(guān)類型的新型犯罪和糾紛，是否有了最起碼的司法準(zhǔn)繩？誰(shuí)有責(zé)任向用戶普及最基本的網(wǎng)絡(luò)安全常識(shí)？

諸如此類的疑問(wèn)，已經(jīng)成為現(xiàn)時(shí)亟待回答的問(wèn)題，這也已經(jīng)足夠給各個(gè)部門(mén)敲響維護(hù)用戶信息安全的警鐘。

攜程的廣告語(yǔ)是“攜程在手，說(shuō)走就走”，可這“說(shuō)泄密，就泄密”，將用戶的安全和利益置于何地？雖說(shuō)攜程在操作中也許并沒(méi)有存有邪念，但是放任的助長(zhǎng)心態(tài)也多多少少反映出當(dāng)前中國(guó)互聯(lián)網(wǎng)界整體安全意識(shí)淡薄的現(xiàn)狀。