漏洞報(bào)告平臺(tái)烏云網(wǎng)昨日（3月22日）披露了攜程網(wǎng)安全漏洞信息，漏洞發(fā)現(xiàn)者稱(chēng)由于攜程開(kāi)啟了用戶(hù)支付服務(wù)借口的調(diào)試功能，支付過(guò)程中的調(diào)試信息可被任意黑客讀取。

安全專(zhuān)家：安全漏洞可致信用卡被盜刷

一位匿名的安全專(zhuān)家告訴騰訊科技，根據(jù)烏云提供的信息來(lái)看，攜程違反了銀聯(lián)此前禁止記錄CVC的規(guī)定，導(dǎo)致這次的事件并沒(méi)有根本上解決風(fēng)險(xiǎn)的可能。目前用戶(hù)只能通過(guò)信用卡賬單查詢(xún)，才能了解自己的銀行卡是否被盜用。

該專(zhuān)家稱(chēng)，這件事情的影響會(huì)很大，因?yàn)榕c此前7天等快捷酒店爆出的信息泄漏不同，此次安全漏洞涉及到用戶(hù)的銀行信用卡。舉例來(lái)說(shuō)，黑客可以通過(guò)用戶(hù)的手機(jī)號(hào)碼、銀行卡號(hào)和CVC（信用卡驗(yàn)證碼）注冊(cè)第三方支付賬號(hào)，從而跳過(guò)用戶(hù)和銀行綁定的手機(jī)，進(jìn)行盜刷。

CVC即銀行信用卡背后的三位驗(yàn)證碼，在無(wú)卡支付的環(huán)節(jié)，只需要提供卡號(hào)和這三個(gè)驗(yàn)證碼就能完成支付，銀行會(huì)默認(rèn)是用戶(hù)自己在POS機(jī)上刷卡消費(fèi)。

另一位安全專(zhuān)家對(duì)騰訊科技表示，信用卡號(hào)、姓名、有效期、CVV碼泄露之后，可以實(shí)現(xiàn)信用卡離線支付，支付過(guò)程不需要提供簽名和支付密碼。而且，這種支付會(huì)被銀行確認(rèn)為持卡人本人操作，任何風(fēng)險(xiǎn)均由持卡人個(gè)人承擔(dān)。

這些數(shù)據(jù)如果落入攻擊者手中，可以用來(lái)注冊(cè)國(guó)內(nèi)外任一家電商服務(wù)，特別是國(guó)外，如果剛好是雙幣信用卡，購(gòu)物只需要點(diǎn)擊確認(rèn)即可完成支付。

“這些數(shù)據(jù)可以用來(lái)創(chuàng)建或關(guān)聯(lián)第三方支付，國(guó)內(nèi)第三方支付公司多達(dá)幾百家，可以利用的點(diǎn)很多。受害者可能隨時(shí)出現(xiàn)資金被盜。”該支付專(zhuān)家稱(chēng)。

安全專(zhuān)家指出，一般消費(fèi)需要密碼，也可以是簽名，但CVV碼會(huì)被視為密碼或簽名。只有三位數(shù)，以往很懂信用卡的人，都會(huì)教網(wǎng)民，申請(qǐng)完信用卡，把背面末三位刮掉。“你外出消費(fèi)，要是被服務(wù)員記錄下這些數(shù)據(jù)，服務(wù)員就可花你的錢(qián)。”

一位銀聯(lián)互聯(lián)網(wǎng)業(yè)務(wù)技術(shù)負(fù)責(zé)人告訴騰訊科技，目前支付主要有兩類(lèi)，包括訂購(gòu)類(lèi)業(yè)務(wù)和普通互聯(lián)網(wǎng)個(gè)人業(yè)務(wù)，其中訂購(gòu)類(lèi)業(yè)務(wù)支付風(fēng)險(xiǎn)較低。

具體來(lái)說(shuō)，訂購(gòu)類(lèi)業(yè)務(wù)包括飛機(jī)票、火車(chē)票預(yù)定，以及酒店預(yù)定。因?yàn)樽罱K消費(fèi)時(shí)可以追蹤到賬單的受益者，所以用戶(hù)在相關(guān)網(wǎng)站進(jìn)行消費(fèi)時(shí)，只需要通過(guò)信用卡后CVC碼就可以完成支付。

如果是其他互聯(lián)網(wǎng)個(gè)人業(yè)務(wù)，比如網(wǎng)絡(luò)購(gòu)物等較大金額的支付，就需要?jiǎng)討B(tài)密碼的協(xié)助，即銀行會(huì)發(fā)送驗(yàn)證碼到手機(jī)上，用戶(hù)通過(guò)輸入驗(yàn)證碼才能完成支付，因此沒(méi)有辦法盜刷。

該負(fù)責(zé)人介紹稱(chēng)，目前保障用戶(hù)信用卡安全的方式主要包括通過(guò)安全控件碼（網(wǎng)上提示的動(dòng)態(tài)驗(yàn)證碼）、動(dòng)態(tài)密碼、驗(yàn)證與預(yù)留手機(jī)號(hào)碼是否一致，以及其他的風(fēng)險(xiǎn)控制措施，如連續(xù)刷卡出現(xiàn)異常交易、銀行設(shè)定的交易額度控制等。

因此，這次黑客盜取信息后，如果想要進(jìn)行消費(fèi)的話，只能通過(guò)一些小額免密碼支付的方式進(jìn)行，比如手機(jī)充值和購(gòu)買(mǎi)點(diǎn)卡，但這對(duì)黑客來(lái)說(shuō)時(shí)間成本很高。

針對(duì)此次烏云漏洞報(bào)告，MediaV CTO、原;ogle技術(shù)總監(jiān)胡寧分析，可能攜程并未故意存儲(chǔ)CVV信息。但其數(shù)據(jù)傳輸為明文，且線上竟長(zhǎng)時(shí)間打開(kāi)調(diào)試功能，導(dǎo)致系統(tǒng)日志中亦為明文，又未及時(shí)清理，所存儲(chǔ)的服務(wù)器還有安全漏洞。一步錯(cuò)，步步錯(cuò)，“用戶(hù)信用卡信息泄露，并非犯低級(jí)技術(shù)錯(cuò)誤這么簡(jiǎn)單。敏感信息需加密存儲(chǔ)、線上開(kāi)調(diào)試功能需慎重、系統(tǒng)日志要及時(shí)清理、服務(wù)器安全性要達(dá)標(biāo)，這都是常識(shí)。”胡寧說(shuō)。

知名網(wǎng)友“花總丟了金箍棒”在微博稱(chēng)：“可靠信源說(shuō)，如果一周內(nèi)未使用過(guò)攜程問(wèn)題不大，此次漏洞影響范圍也不大，他們已經(jīng)報(bào)警。”

安全漏洞可能因APP開(kāi)發(fā)調(diào)試導(dǎo)致

據(jù)知情人士透露，攜程此次用戶(hù)信息泄露事件，可能是無(wú)線研發(fā)推進(jìn)過(guò)快而變相導(dǎo)致的。該人士稱(chēng)，攜程的安全漏洞，不是在Web網(wǎng)頁(yè)上的漏洞導(dǎo)致，而是無(wú)線部門(mén)在手機(jī)APP產(chǎn)品調(diào)試過(guò)程中，保存了日志并在Web.config 開(kāi)了目錄遍歷才出的狀況。

某企業(yè)負(fù)責(zé)IT安全的人士向騰訊科技表示，利用目錄遍歷攻擊漏洞，攻擊者能夠超過(guò)服務(wù)器的根目錄，從而訪問(wèn)到文件系統(tǒng)的其他部分，訪問(wèn)受限制文件或資源,或者采取更危險(xiǎn)行為。

那么攜程的這個(gè)安全漏洞可能是怎么造成的？某互聯(lián)網(wǎng)上市公司CTO告訴騰訊科技，不管是App還是Wap或Web，都只是產(chǎn)品的前端表現(xiàn)形式，所調(diào)用的數(shù)據(jù)源必然只有一個(gè)。新產(chǎn)品的上線流程一般是開(kāi)發(fā)機(jī)-內(nèi)網(wǎng)測(cè)試機(jī)-發(fā)布員發(fā)布到外網(wǎng)，每個(gè)環(huán)節(jié)都有QA測(cè)試，但在緊急或意外情況下，程序員會(huì)臨時(shí)去外網(wǎng)修改產(chǎn)品，這么做非常危險(xiǎn)，因?yàn)樘^(guò)了控制流程、跳過(guò)了發(fā)布員（跟產(chǎn)品開(kāi)發(fā)不是一撥人）。

該人士表示，攜程是上市公司，應(yīng)該有非常嚴(yán)格的控制，猜測(cè)是不小心把沒(méi)有過(guò)濾好的內(nèi)網(wǎng)代碼目錄發(fā)布到外網(wǎng)了。如果是這種發(fā)布錯(cuò)誤，問(wèn)題并不嚴(yán)重，也就是版本控制不力——但如果是有員工跳過(guò)流程直接修改，就是特大問(wèn)題，因?yàn)檫@意味著產(chǎn)品失去了對(duì)各環(huán)節(jié)和安全的控制點(diǎn)。

攜程稱(chēng)目前無(wú)信用卡被盜刷情況

攜程今日回應(yīng)，稱(chēng)經(jīng)查，這是攜程旅行網(wǎng)在技術(shù)調(diào)試過(guò)程中，出現(xiàn)了短時(shí)漏洞。消息發(fā)布后，攜程立即展開(kāi)技術(shù)排查，并在兩小時(shí)內(nèi)修復(fù)這個(gè)漏洞。據(jù)攜程排查，除漏洞發(fā)現(xiàn)人做了少量的測(cè)試下載并已全部刪除外，沒(méi)有出現(xiàn)惡意下載有關(guān)數(shù)據(jù)的情況，用戶(hù)在攜程的交易仍舊是安全的，用戶(hù)信息沒(méi)有受到影響。

事件發(fā)生后，攜程同各大銀行均取得聯(lián)系，經(jīng)核實(shí)，目前也沒(méi)有出現(xiàn)用戶(hù)信用卡被盜刷的情況。攜程稱(chēng)，未來(lái)，倘若發(fā)生安全漏洞并引起用戶(hù)損失，攜程將給予全額賠付。針對(duì)此事給用戶(hù)造成的困擾，攜程旅行網(wǎng)誠(chéng)懇致歉。

昨日晚間攜程曾表示，可能受影響用戶(hù)為3月21日與3月22日的部分交易客戶(hù)，目前并沒(méi)有用戶(hù)收到該漏洞的影響而造成相應(yīng)財(cái)產(chǎn)損失的情況發(fā)現(xiàn)。攜程將對(duì)于提供漏洞信息者給與重獎(jiǎng)，對(duì)于此次漏洞事件如果有新的進(jìn)展將持續(xù)通報(bào)。

銀行信用卡中心暫未收到攜程應(yīng)對(duì)措施

騰訊科技致電各大銀行信號(hào)信用卡中心，都表示還沒(méi)有收到攜程官方公告通知具體情況和應(yīng)對(duì)措施，招商銀行和民生銀行信用卡中心工作人員告訴騰訊科技，暫時(shí)不了解攜程信用卡信息泄露相關(guān)的具體信息，但是客戶(hù)如果擔(dān)心私密信息被泄露，會(huì)凍結(jié)舊卡寄送新的卡片。

專(zhuān)家建議：關(guān)閉信用卡網(wǎng)上支付功能

安全專(zhuān)家建議用戶(hù)，注意檢查信用卡帳單和消費(fèi)短信，如果發(fā)現(xiàn)異常，及時(shí)聯(lián)系銀行，以減輕損失。如果已確定發(fā)現(xiàn)信用卡交易異常，懷疑信用卡信息泄露，可選擇關(guān)閉信用卡網(wǎng)上支付功能（對(duì)用戶(hù)影響很大），或者聯(lián)系銀行注銷(xiāo)舊卡片，更換新卡。

據(jù)悉，攜程已建立安全應(yīng)急響應(yīng)中心，并設(shè)立了信息安全獎(jiǎng)勵(lì)基金，獎(jiǎng)勵(lì)為攜程找出漏洞的信息安全衛(wèi)士。據(jù)騰訊科技了解，目前很多用戶(hù)依然很恐慌。