攜程漏洞曝光(guāng)之後:對(duì)話(huà)當事白帽黑(hēi)客
上個(gè)周末不太平。
3月(yuè)22日,18點18分(fēn)。一個(gè)編号爲54302的(de)漏洞報告,被曝光(guāng)在互聯網安全問題反饋平台烏雲(wooyun.org)之上,發布者是烏雲的(de)核心白帽子黑(hēi)客“豬豬俠”。這(zhè)份報告表明(míng),攜程的(de)一個(gè)漏洞會導緻大(dà)量用(yòng)戶銀行卡信息洩露,而這(zhè)些信息可(kě)能直接引發盜刷等問題。
這(zhè)一消息很快(kuài)通(tōng)過媒體廣爲流傳,關注度甚至超過稍後曝出的(de)另一條新聞《華爲總部服務器遭美(měi)國安局入侵》,也(yě)超出此前曝光(guāng)一些看似也(yě)很嚴重的(de)漏洞。
一個(gè)讓用(yòng)戶換卡的(de)漏洞
這(zhè)個(gè)漏洞是怎麽回事兒(ér)?據介紹,由于攜程用(yòng)于處理(lǐ)用(yòng)戶支付的(de)安全支付服務器接口存在調試功能,将用(yòng)戶的(de)支付記錄用(yòng)文本保存了(le)下(xià)來(lái)。同時(shí)因爲保存支付日志的(de)服務器未做(zuò)校嚴格的(de)基線安全配置,存在目錄遍曆漏洞,導緻所有支付過程中的(de)調試信息可(kě)被任意黑(hēi)客讀取。
所謂遍曆通(tōng)常是指沿著(zhe)某條搜索路線,依次對(duì)樹中每個(gè)結點均做(zuò)一次且僅做(zuò)一次訪問。這(zhè)一被歸類爲“敏感信息洩露”的(de)漏洞,被指可(kě)能導緻大(dà)量攜程用(yòng)戶的(de)信息曝光(guāng),包括:持卡人(rén)姓名身份證、銀行卡号、銀行卡CVV碼、6位卡Bin等非常敏感的(de)内容。
攜程官方的(de)解釋爲:技術開發人(rén)員(yuán)爲了(le)排查系統疑問,留下(xià)了(le)臨時(shí)日志,因疏忽未及時(shí)删除。不過MediaV公司CTO胡甯還(hái)是通(tōng)過微博批評稱:“數據傳輸爲明(míng)文,且線上竟長(cháng)時(shí)間打開調試功能,導緻系統日志中亦爲明(míng)文,又未及時(shí)清理(lǐ),所存儲的(de)服務器還(hái)有安全漏洞”。
有攜程的(de)同行對(duì)新浪科技表示,攜程在無線端有過不是非常安全的(de)做(zuò)法,這(zhè)種方式雖然便于用(yòng)戶操作,但存在一定的(de)安全風險。而攜程内部人(rén)士對(duì)新浪科技表示,這(zhè)是一次“意外”的(de)安全事故,攜程并非有意保存用(yòng)戶的(de)相關信息,出現這(zhè)樣的(de)問題攜程内部也(yě)覺得(de)不可(kě)理(lǐ)解。
用(yòng)戶們更是不可(kě)理(lǐ)解。這(zhè)次漏洞外洩的(de)信息,意味著(zhe)用(yòng)戶銀行卡的(de)幾乎全部信息都存在曝光(guāng)風險,有了(le)這(zhè)些信息,信用(yòng)卡被盜刷可(kě)能變成一件易如反掌的(de)事情。
面臨最大(dà)風險的(de),是來(lái)自于近期曾經通(tōng)過攜程無線端有過交易行爲的(de)用(yòng)戶。攜程并沒有公布漏洞存在的(de)時(shí)間和(hé)範圍,所以規避風險的(de)最佳辦法,就是立即聯系銀行換卡。
據招商銀行信用(yòng)卡客服透露,這(zhè)幾天有很多(duō)用(yòng)戶已就攜程漏洞問題緻電咨詢,其中大(dà)部分(fēn)已經采取立即注銷原有信用(yòng)卡、另行開通(tōng)新卡的(de)避險措施。招商銀行工作人(rén)員(yuán)介紹說,重新制作信用(yòng)卡需要兩天時(shí)間,加上遞送大(dà)約需要一周時(shí)間,這(zhè)期間信用(yòng)卡無法使用(yòng)。
關鍵事項:CVV與PCI
面臨洩露風險的(de)信息中,CVV更是成爲關注的(de)焦點。
CVV(Card Verification Value)也(yě)被稱作CVC(Card Validation Code),資料顯示,這(zhè)部分(fēn)信息是由卡号、有效期和(hé)服務約束代碼生成的(de)3位或4位數字,一般寫在卡片磁條的(de)2磁道用(yòng)戶自定義數據區(qū)裏面。CVV和(hé)CVC的(de)生成方法是一樣的(de),隻是叫法不一樣而已。
這(zhè)個(gè)信息被用(yòng)來(lái)在交易時(shí)進行核對(duì)。CVV在聯機交易(刷卡)的(de)時(shí)候核對(duì),而在不實際刷卡的(de)交易過程中,這(zhè)個(gè)信息更是有著(zhe)決定性的(de)作用(yòng)。不過值得(de)詳細說明(míng)的(de)是,我們通(tōng)常在不刷卡的(de)支付過程中,需要提供的(de)信息其實叫做(zuò)CVV2,也(yě)就是卡片背面簽名檔旁邊的(de)三位數。
作爲敏感信息,CVV2在互聯網支付等不刷卡的(de)交易中,有著(zhe)明(míng)确的(de)處理(lǐ)規定。
根據中國銀聯發布的(de)《銀行卡收單機構帳戶管理(lǐ)标準》,各收單機構系統隻能存儲用(yòng)于交易清分(fēn)、卡片驗證碼、個(gè)人(rén)标識代碼(PIN)及卡片有效期。磁道信息、卡片驗證碼、個(gè)人(rén)标識代碼、卡片有效期隻用(yòng)于完成銀聯卡交易,不能用(yòng)于除此之外的(de)任何其他(tā)用(yòng)途。
多(duō)家提供在線支付的(de)服務商也(yě)對(duì)新浪科技表示,在實際操作中會根據相關規定,不會對(duì)用(yòng)戶的(de)相關信息違規存儲。與CVV相比,另一個(gè)讓攜程面臨指責的(de)英文縮寫是PCI。
PCI,在金融業内通(tōng)常代指支付卡行業數據安全标準,即PCI-DSS(Payment Card Industry Data Security Standard)。制定PCI目的(de)是爲了(le)優化(huà)信用(yòng)卡,借記卡和(hé)現金卡交易的(de)安全,保護持卡人(rén)的(de)個(gè)人(rén)信息,已防被他(tā)人(rén)利用(yòng)。
在此次洩露事件中,有人(rén)指責攜程不具備符合PCI标準的(de)資質,并将此歸因于攜程在流程上出問題的(de)原因。VeryCD創始人(rén)戴雲傑就公開質疑攜程:CVV2屬于不應存儲的(de)敏感數據。而有獲得(de)PCI資質的(de)攜程同行告訴新浪科技,這(zhè)個(gè)資質申請并不容易,能通(tōng)過也(yě)要耗時(shí)一年。
攜程究竟有沒有PCI資質呢(ne)?官方給出的(de)回應是:攜程的(de)做(zuò)法,符合PCI-DSS規定。攜程将進一步嚴格按照(zhào)PCI-DSS的(de)監管要求執行。
93通(tōng)電話(huà)與1個(gè)用(yòng)戶
當然關于PCI的(de)討(tǎo)論并不是當務之急,也(yě)有獲得(de)PCI資質也(yě)同樣出事的(de)反例。對(duì)于普通(tōng)用(yòng)戶而言,最核心的(de)問題是:我究竟安不安全?
詳細信息披露的(de)缺乏,讓規模龐大(dà)的(de)攜程用(yòng)戶群體惴惴不安。官方的(de)說法是:“經攜程排查,僅漏洞發現人(rén)做(zuò)了(le)測試下(xià)載,内容含有極少量加密卡号信息,共涉及93名存在潛在風險的(de)攜程用(yòng)戶”。攜程将在23日逐個(gè)通(tōng)知這(zhè)93名用(yòng)戶,沒有接到電話(huà)則表明(míng)“是安全的(de),無需擔心”。
93這(zhè)個(gè)規模,相對(duì)于攜程隻能算(suàn)是極少數。一位22日在攜程平台有過交易的(de)用(yòng)戶對(duì)新浪科技表示,并沒有收到來(lái)自攜程方面的(de)電話(huà)通(tōng)知。然而和(hé)另幾位近期有過攜程交易的(de)用(yòng)戶一樣,他(tā)們都對(duì)個(gè)人(rén)信息的(de)安全表達了(le)深度的(de)擔憂,對(duì)攜程的(de)信任感也(yě)降至最低。
實際上,新浪科技取得(de)聯系的(de)攜程用(yòng)戶中,大(dà)部分(fēn)已經采取了(le)換卡的(de)處理(lǐ)方式。
好消息是截至目前,還(hái)沒有公開的(de)信息顯示有攜程用(yòng)戶因爲這(zhè)一漏洞遭遇損失。而不好的(de)消息是,攜程信息洩露的(de)情況,或許在更早之前已經造成傷害。
廣西易搜科技CEO嚴茂軍就是一個(gè)案例。按照(zhào)這(zhè)位攜程鑽石卡會員(yuán)的(de)描述,今年2月(yuè)25日一早,他(tā)的(de)手機相繼出現多(duō)條信用(yòng)卡消費的(de)短信提示,有的(de)以美(měi)元結算(suàn)、有的(de)以英鎊結算(suàn)、有的(de)以歐元結算(suàn),這(zhè)幾筆扣款合計金額不到人(rén)民币兩萬元。
幾番追究之後,嚴茂軍把懷疑對(duì)象鎖定在攜程身上,據他(tā)的(de)描述隻有和(hé)攜程賬号綁定的(de)三張信用(yòng)卡,在2月(yuè)25日那天出現了(le)十幾筆盜刷外币的(de)事件,而其另外的(de)三張信用(yòng)卡則相安無事。不過嚴茂軍所提出的(de)質疑,沒有其他(tā)更爲嚴密的(de)證據能夠證明(míng),也(yě)很難讓攜程就此承認。
“我是這(zhè)幾家銀行白金客戶,擁有72小時(shí)賠付,如果不是我的(de)責任被盜刷,我無須自己支付,由白金保險承擔”,在與新浪科技溝通(tōng)時(shí)嚴茂軍說攜程的(de)安全漏洞或許成爲銀行的(de)借口,他(tā)擔心一旦出現問題會有很多(duō)非白金的(de)用(yòng)戶需要自行承擔損失。
一位銀行業内人(rén)士也(yě)對(duì)新浪科技表示,出現盜刷其實很難追究責任。
對(duì)話(huà)白帽黑(hēi)客豬豬俠
出現與信用(yòng)卡有關的(de)漏洞,自然會聯想到與黑(hēi)客有關的(de)地下(xià)産業鏈。
網上關于黑(hēi)客以及黑(hēi)客背後暴利生意的(de)報道,多(duō)年以來(lái)一直廣爲流傳。國内外與黑(hēi)客有關的(de)信息盜取事件也(yě)層出不窮,例如2011年12月(yuè)中國最大(dà)程序員(yuán)網站CSDN報案稱遭遇黑(hēi)客攻擊、600餘萬用(yòng)戶信息被洩露;去年12月(yuè),美(měi)國第三大(dà)零售商Target的(de)4000萬顧客信用(yòng)卡數據被盜。
知名互聯網信息安全專家sunwear在新浪微博中表示,黑(hēi)客圈做(zuò)信用(yòng)卡産業很成熟,歐美(měi)台日等都是黑(hēi)客的(de)目标,很多(duō)網站都會儲存信用(yòng)卡的(de)卡号、CVV、到期日等信息,渠道太多(duō)攜程隻是冰山一角,雖然很多(duō)數據是加密或隐藏信息但不一定好使。
他(tā)還(hái)放出一張某黑(hēi)客位于荷蘭的(de)服務器中的(de)信息截圖,“其中的(de)信用(yòng)卡資料來(lái)自中東某航空公司和(hé)幾個(gè)台灣網站,總量在700萬條左右,按照(zhào)黑(hēi)客圈價格歐洲的(de)卡一張可(kě)以做(zuò)出幾百塊,你們自己想利潤吧。不過我看到時(shí)數據已經放那一年裏,早被洗過了(le)”。
不過并不是所有的(de)黑(hēi)客都從事這(zhè)樣的(de)生意。黑(hēi)客中有一類被稱爲白帽黑(hēi)客,他(tā)們主要利用(yòng)自己的(de)技術測試網絡和(hé)系統的(de)性能,并不通(tōng)過這(zhè)種方式牟利。
這(zhè)次披露攜程漏洞的(de),就是烏雲平台的(de)核心白帽黑(hēi)客豬豬俠,在微博上他(tā)的(de)ID是一串英文名,而他(tā)五位數的(de)QQ使用(yòng)的(de)又是另一個(gè)三字中文名稱。豬豬俠有著(zhe)一串驕人(rén)的(de)戰績,被他(tā)發現漏洞的(de)企業包括:攜程、騰訊、優酷、網易、盛大(dà)……僅在烏雲披露的(de)漏洞數量已達125個(gè)。
新浪科技問:“你爲什(shén)麽能發現這(zhè)麽多(duō)漏洞”。
豬豬俠回答(dá):“産品經理(lǐ)爲了(le)産品的(de)易用(yòng)性,會收集各種數據來(lái)改進産品體驗”。
在交流中,豬豬俠似乎感受到了(le)某種外在的(de)壓力,他(tā)對(duì)新浪科技直言近期并不太想針對(duì)攜程漏洞一事發表過多(duō)的(de)評論,而且目前已經有相關部門介入此事。此外,他(tā)另外在微博上表示:目前本人(rén)已經将安全測試涉及到的(de)日志信息徹底删除, 攜程也(yě)已經及時(shí)修複漏洞。
對(duì)于攜程聲稱提供獎勵一事,豬豬俠說他(tā)也(yě)沒有當真。實際上,攜程漏洞這(zhè)件事被關注的(de)程度,并不在豬豬俠的(de)意料之内,他(tā)事後總結說可(kě)能是因爲這(zhè)個(gè)漏洞直接與錢挂鈎。
“真正應該火的(de)是這(zhè)個(gè)漏洞”,豬豬俠給了(le)新浪科技一個(gè)鏈接:
那是一個(gè)3月(yuè)21日,14點10分(fēn)發布在烏雲平台,一個(gè)編号爲54204的(de)漏洞報告。這(zhè)份報告顯示,騰訊QQ客戶端某默認安裝空間存在嚴重安全缺陷,黑(hēi)客可(kě)遠(yuǎn)程獲取任意好友的(de)ClientKEY;結合另外一個(gè)漏洞,即可(kě)繞過騰訊單點登陸系統的(de)IP訪問限制,登錄好友的(de)全線QQ業務系統。
包括QQ空間、QQ相冊、QQ郵箱、騰訊微博等。顯然這(zhè)中間隐藏著(zhe)更大(dà)的(de)隐私風險,至截稿時(shí),新浪科技就此咨詢騰訊方面尚未獲得(de)回應。