携程漏洞曝光之后
2014/03/26
【云览观点】3月22日,互联网安全问题反馈平台上曝光的一个编号为54302的漏洞报告显示,携程的一个漏洞会导致大量用户银行卡信息泄露,或直接引发盗刷等问题。 云览观点:公有云服务带来便利的同时,安全问题如鲠在喉,需要引起全面的关注。
上个周末不太平。
3月22日,18点18分。一个编号为54302的漏洞报告,被曝光在互联网安全问题反馈平台乌云(wooyun.org)之上,发布者是乌云的核心白帽子黑客“猪猪侠”。这份报告表明,携程的一个漏洞会导致大量用户银行卡信息泄露,而这些信息可能直接引发盗刷等问题。
这一消息很快通过媒体广为流传,关注度甚至超过稍后曝出的另一条新闻《华为总部服务器遭美国安局入侵》,也超出此前曝光一些看似也很严重的漏洞。
漏洞详情
由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
QQ漏洞更大
乌云平台上一个编号为54204的漏洞报告显示,腾讯QQ客户端某默认安装空间存在严重安全缺陷,黑客可远程获取任意好友的ClientKEY;结合另外一个漏洞,即可绕过腾讯单点登陆系统的IP访问限制,登录好友的全线QQ业务系统,包括QQ空间、QQ相册、QQ邮箱、腾讯微博等。显然这中间隐藏着更大的隐私风险。
评论:携程为何犯低级安全错误
存储用户支付信息、明文保存用户密码……网站进行这些不规范操作,表面上是为了提供更简洁的流程,实质上却是以牺牲用户网络安全为代价。
携程被曝支付日志存在漏洞,用户银行卡信息可被黑客任意读取。这件事情引起的震动颇大,周围很多人第一时间致电发卡银行,请求更换信用卡或挂失,因接入用户过多,一些银行客服电话还遭遇占线,这是以前从未遇到过的。
尽管爆出消息的乌云漏洞平台在报告时措辞比较专业,但“可被任意骇客读取”几个字消费者还是懂的,这也是恐慌的根源。
事件发生后,携程在微博上说“向用户诚恳道歉”,并称漏洞已修复,承诺愿意为未来因安全漏洞引起的用户损失承担赔付责任。但在这份“申明”中,对泄密事件的一些细节却含糊其辞,没有直面的勇气。
比如,携程为什么要“将用户支付的记录用文本保存了下来”?在一月份曾有媒体质疑携程网(49.49, 0.01, 0.02%)的支付安全性,当时携程明确回复说“携程网的后台不会记录用户的支付信息”。是当初在撒谎,还是后来又“变坏”?网站不应保存CVV现在基本上是业内同行的规则。
再比如,即便保存了用户信息,为什么要用明文存储?2012年CSDN泄密事件,引起广泛反思的,就是网站不应该用明文存储用户密码信息。教训如此严重,携程再犯这种错误,实在不该。
关于网站在用户支付过程中该如何保护用户信息,国内外相关标准不止一个,国际上比较权威的是PCI-DSS(第三方支付行业数据安全标准),加入此标准认证的企业都要接受严苛的年度安全评估,并且每个季度都在接受PCI认证要求的ASV弱点扫描。但国内主动进行这项认证的网站只是少数,去年底,还有媒体报道未能在携程上找到PCI-DSS认证标识。
携程是行业巨头,又是上市公司,居然也在安全问题上犯这样的低级错误,只能说没有把用户的利益放在第一位,同时也反映出当前中国互联网界整体安全意识淡薄的现状。存储用户支付信息、明文保存用户密码……网站进行这些不规范操作的时候未必心存恶念,它们很多只是为了提供更简洁的流程,以表面上更好的体验留住用户,以便在竞争中取得领先地位,但实质上,却是以牺牲用户网络安全为代价。