|
||||
攜程漏洞曝光之後:對話當事白帽黑客
上個周末不太平。
3月22日,18點18分。一個編號為54302的漏洞報告,被曝光在互聯網安全問題反饋平臺烏雲(wooyun.org)之上,發布者是烏雲的核心白帽子黑客『豬豬俠』。這份報告表明,攜程的一個漏洞會導致大量用戶銀行卡信息泄露,而這些信息可能直接引發盜刷等問題。
這一消息很快通過媒體廣為流傳,關注度甚至超過稍後曝出的另一條新聞《華為總部服務器遭美國安局入侵》,也超出此前曝光一些看似也很嚴重的漏洞。
一個讓用戶換卡的漏洞這個漏洞是怎麼回事兒?據介紹,由於攜程用於處理用戶支付的安全支付服務器接口存在調試功能,將用戶的支付記錄用文本保存了下來。同時因為保存支付日志的服務器未做校嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意黑客讀取。
所謂遍歷通常是指沿著某條搜索路線,依次對樹中每個結點均做一次且僅做一次訪問。這一被歸類為『敏感信息泄露』的漏洞,被指可能導致大量攜程用戶的信息曝光,包括:持卡人姓名身份證、銀行卡號、銀行卡CVV碼、6位卡Bin等非常敏感的內容。
攜程官方的解釋為:技術開發人員為了排查系統疑問,留下了臨時日志,因疏忽未及時刪除。不過MediaV公司CTO胡寧還是通過微博批評稱:『數據傳輸為明文,且線上竟長時間打開調試功能,導致系統日志中亦為明文,又未及時清理,所存儲的服務器還有安全漏洞』。
有攜程的同行對新浪科技表示,攜程在無線端有過不是非常安全的做法,這種方式雖然便於用戶操作,但存在一定的安全風險。而攜程內部人士對新浪科技表示,這是一次『意外』的安全事故,攜程並非有意保存用戶的相關信息,出現這樣的問題攜程內部也覺得不可理解。
用戶們更是不可理解。這次漏洞外泄的信息,意味著用戶銀行卡的幾乎全部信息都存在曝光風險,有了這些信息,信用卡被盜刷可能變成一件易如反掌的事情。
面臨最大風險的,是來自於近期曾經通過攜程無線端有過交易行為的用戶。攜程並沒有公布漏洞存在的時間和范圍,所以規避風險的最佳辦法,就是立即聯系銀行換卡。
據招商銀行信用卡客服透露,這幾天有很多用戶已就攜程漏洞問題致電諮詢,其中大部分已經采取立即注銷原有信用卡、另行開通新卡的避險措施。招商銀行工作人員介紹說,重新制作信用卡需要兩天時間,加上遞送大約需要一周時間,這期間信用卡無法使用。
關鍵事項:CVV與PCI
面臨泄露風險的信息中,CVV更是成為關注的焦點。
CVV(Card Verification Value)也被稱作CVC(Card Validation Code),資料顯示,這部分信息是由卡號、有效期和服務約束代碼生成的3位或4位數字,一般寫在卡片磁條的2磁道用戶自定義數據區裡面。CVV和CVC的生成方法是一樣的,只是叫法不一樣而已。
這個信息被用來在交易時進行核對。CVV在聯機交易(刷卡)的時候核對,而在不實際刷卡的交易過程中,這個信息更是有著決定性的作用。不過值得詳細說明的是,我們通常在不刷卡的支付過程中,需要提供的信息其實叫做CVV2,也就是卡片背面簽名檔旁邊的三位數。
作為敏感信息,CVV2在互聯網支付等不刷卡的交易中,有著明確的處理規定。
根據中國銀聯發布的《銀行卡收單機構帳戶管理標准》,各收單機構系統只能存儲用於交易清分、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。磁道信息、卡片驗證碼、個人標識代碼、卡片有效期只用於完成銀聯卡交易,不能用於除此之外的任何其他用途。
多家提供在線支付的服務商也對新浪科技表示,在實際操作中會根據相關規定,不會對用戶的相關信息違規存儲。與CVV相比,另一個讓攜程面臨指責的英文縮寫是PCI。PCI,在金融業內通常代指支付卡行業數據安全標准,即PCI-DSS(Payment Card Industry Data Security Standard)。制定PCI目的是為了優化信用卡,借記卡和現金卡交易的安全,保護持卡人的個人信息,已防被他人利用。
在此次泄露事件中,有人指責攜程不具備符合PCI標准的資質,並將此歸因於攜程在流程上出問題的原因。VeryCD創始人戴雲傑就公開質疑攜程:CVV2屬於不應存儲的敏感數據。而有獲得PCI資質的攜程同行告訴新浪科技,這個資質申請並不容易,能通過也要耗時一年。
攜程究竟有沒有PCI資質呢?官方給出的回應是:攜程的做法,符合PCI-DSS規定。攜程將進一步嚴格按照PCI-DSS的監管要求執行。
93通電話與1個用戶
當然關於PCI的討論並不是當務之急,也有獲得PCI資質也同樣出事的反例。對於普通用戶而言,最核心的問題是:我究竟安不安全?
詳細信息披露的缺乏,讓規模龐大的攜程用戶群體惴惴不安。官方的說法是:『經攜程排查,僅漏洞發現人做了測試下載,內容含有極少量加密卡號信息,共涉及93名存在潛在風險的攜程用戶』。攜程將在23日逐個通知這93名用戶,沒有接到電話則表明『是安全的,無需擔心』。
93這個規模,相對於攜程只能算是極少數。一位22日在攜程平臺有過交易的用戶對新浪科技表示,並沒有收到來自攜程方面的電話通知。然而和另幾位近期有過攜程交易的用戶一樣,他們都對個人信息的安全表達了深度的擔懮,對攜程的信任感也降至最低。
實際上,新浪科技取得聯系的攜程用戶中,大部分已經采取了換卡的處理方式。
好消息是截至目前,還沒有公開的信息顯示有攜程用戶因為這一漏洞遭遇損失。而不好的消息是,攜程信息泄露的情況,或許在更早之前已經造成傷害。
廣西易搜科技CEO嚴茂軍就是一個案例。按照這位攜程鑽石卡會員的描述,今年2月25日一早,他的手機相繼出現多條信用卡消費的短信提示,有的以美元結算、有的以英鎊結算、有的以歐元結算,這幾筆扣款合計金額不到人民幣兩萬元。
幾番追究之後,嚴茂軍把懷疑對象鎖定在攜程身上,據他的描述只有和攜程賬號綁定的三張信用卡,在2月25日那天出現了十幾筆盜刷外幣的事件,而其另外的三張信用卡則相安無事。不過嚴茂軍所提出的質疑,沒有其他更為嚴密的證據能夠證明,也很難讓攜程就此承認。
『我是這幾家銀行白金客戶,擁有72小時賠付,如果不是我的責任被盜刷,我無須自己支付,由白金保險承擔』,在與新浪科技溝通時嚴茂軍說攜程的安全漏洞或許成為銀行的借口,他擔心一旦出現問題會有很多非白金的用戶需要自行承擔損失。
一位銀行業內人士也對新浪科技表示,出現盜刷其實很難追究責任。
對話白帽黑客豬豬俠
出現與信用卡有關的漏洞,自然會聯想到與黑客有關的地下產業鏈。
網上關於黑客以及黑客背後暴利生意的報道,多年以來一直廣為流傳。國內外與黑客有關的信息盜取事件也層出不窮,例如2011年12月中國最大程序員網站CSDN報案稱遭遇黑客攻擊、600餘萬用戶信息被泄露;去年12月,美國第三大零售商Target的4000萬顧客信用卡數據被盜。
知名互聯網信息安全專家sunwear在新浪微博中表示,黑客圈做信用卡產業很成熟,歐美臺日等都是黑客的目標,很多網站都會儲存信用卡的卡號、CVV、到期日等信息,渠道太多攜程只是冰山一角,雖然很多數據是加密或隱藏信息但不一定好使。
他還放出一張某黑客位於荷蘭的服務器中的信息截圖,『其中的信用卡資料來自中東某航空公司和幾個臺灣網站,總量在700萬條左右,按照黑客圈價格歐洲的卡一張可以做出幾百塊,你們自己想利潤吧。不過我看到時數據已經放那一年裡,早被洗過了』。
不過並不是所有的黑客都從事這樣的生意。黑客中有一類被稱為白帽黑客,他們主要利用自己的技術測試網絡和系統的性能,並不通過這種方式牟利。
這次披露攜程漏洞的,就是烏雲平臺的核心白帽黑客豬豬俠,在微博上他的ID是一串英文名,而他五位數的QQ使用的又是另一個三字中文名稱。豬豬俠有著一串驕人的戰績,被他發現漏洞的企業包括:攜程、騰訊、優酷、網易、盛大……僅在烏雲披露的漏洞數量已達125個。
新浪科技問:『你為什麼能發現這麼多漏洞』。
豬豬俠回答:『產品經理為了產品的易用性,會收集各種數據來改進產品體驗』。
在交流中,豬豬俠似乎感受到了某種外在的壓力,他對新浪科技直言近期並不太想針對攜程漏洞一事發表過多的評論,而且目前已經有相關部門介入此事。此外,他另外在微博上表示:目前本人已經將安全測試涉及到的日志信息徹底刪除,攜程也已經及時修復漏洞。
對於攜程聲稱提供獎勵一事,豬豬俠說他也沒有當真。實際上,攜程漏洞這件事被關注的程度,並不在豬豬俠的意料之內,他事後總結說可能是因為這個漏洞直接與錢掛鉤。
『真正應該火的是這個漏洞』,豬豬俠給了新浪科技一個鏈接:
那是一個3月21日,14點10分發布在烏雲平臺,一個編號為54204的漏洞報告。這份報告顯示,騰訊QQ客戶端某默認安裝空間存在嚴重安全缺陷,黑客可遠程獲取任意好友的ClientKEY;結合另外一個漏洞,即可繞過騰訊單點登陸系統的IP訪問限制,登錄好友的全線QQ業務系統。
包括QQ空間、QQ相冊、QQ郵箱、騰訊微博等。顯然這中間隱藏著更大的隱私風險,至截稿時,新浪科技就此諮詢騰訊方面尚未獲得回應。