泄露旅客信息,携程存在安全漏洞!法院判赔50000元!

随着移动互联网兴起,用户包括身份、银行财产等相关数据和互联网应用绑定越来越紧密,泄露风险和威胁也越来越大。而商家为了提高用户操作和消费便利性,或者为了加快产品开发流程,对安全问题往往心存侥幸。
 
  申女士在公司负责行政工作。去年8月9日凌晨,申女士通过携程手机APP软件帮同事下单预订了8月10日上午10点50分北京飞嘉峪关中间经西安转机的机票。
 
  当天上午10点15分,她收到一条署名“东方航空”的手机短信,告知其因飞机起落架故障西安到嘉峪关的航班取消,让她联系客服办理改签或退票。申女士信以为真,后在骗子的诱导下开通了支付宝“亲密付”功能和银行卡的网银功能,先后被转走近12万元。
 
  事后,申女士将携程和支付宝(中国)网络技术有限公司一并诉至法院,要求两公司连带赔偿经济损失并赔礼道歉,赔偿精神损害抚慰金1万元。
 
  今天上午,朝阳法院对此案作出一审判决。判决显示,本案中,申女士通过携程公司手机APP平台订购机票,因订购机票行为而产生的出行人姓名、航班日期、起落地点、航班号、航空公司信息、订票预留手机号信息被整体泄露,诈骗分子根据泄露的信息内容发送诈骗短信,引导申女士使用支付宝亲密付功能消费及工商银行网上银行转账,最终导致申女士银行卡内个人财产受损。
 
  判决提到,通过申女士及携程公司提交的新闻媒体报道证据及法院向派出所核实刑事案件进展情况可知,从2014年至今,出现了大量的机票退改签短信诈骗案,这些诈骗短信所包含的个人信息非常精确,不仅包括乘机人姓名、订票人手机号等常见的个人信息,而且包含航班号、起降时间等完整的订票信息,其事发的频次、危害的严重性及危害程度令人咋舌。
 
  在法院审理过程中,携程公司对其内部员工授权进行访问涉案订单的人员范围、访问敏感信息的授权记录、监控情况、操作记录、内外部传输审批情况等均未提交证据举证。法院审理中还发现,在大量机票退改签短信诈骗案被媒体报道后,携程公司对于订单信息的保护反而从2014年的二级加密保护降低为2018年的一级不加密传输。在应用界面及短信确认内容中也没有充分明显地告知消费者对于航班信息诈骗的注意。
 
  法院审理认为,携程公司在信息安全管理的落实方面存在漏洞,未尽个人信息保管及防止泄露义务,具有过错,应承担侵权责任。
 
  至于支付宝,法院审理认为支付宝软件不存在漏洞,在亲密付开通的过程中已经尽到了充分的告知义务。因此,法院没有支持申女士关于支付宝的诉请。
 
  宣判后,朝阳法院还向携程公司发送了司法建议,建议其完善涉公民个人信息保护的管理制度;提升个人信息保护的硬件设备和技术保障;规范公司在承接业务中对客户尽到风险的充分提示和注意义务。
 
  然而这并非个案,每隔几年就会有一次被全网曝光的。
 
  携程漏洞门引发公众担忧快捷支付隐患显露(2014年)
 
  携程的漏洞,触发了一场关于支付安全的全民恐慌。
 
  3月22日,周六晚上21点多,北京一家传媒公司的负责人给行政主管拨了一个电话,告诉她马上挂失为出差人员订航班酒店的招行信用卡。
 
  当日晚间,携程旅行网(NASDAQ:CTRP)被曝支付日志存在漏洞,用户银行卡信息可被黑客任意读取。携程方面承认漏洞存在。
 
  作为中国老牌旅行服务公司,携程为超过1.4亿会员提供酒店预订、机票预订、旅游度假、商旅管理等服务,是诸多中国公司机构订酒店机票的常用平台,与建行、招商、广发等银行发行有联名信用卡。
 
  携程此次被诟病的不仅是漏洞被捕获,更重要的是泄露的用户信息中包括了银行卡CVV码这类被明令禁止不得储存的数据信息。更令人担心的是,类似做法在业内不是孤例,为促进用户便捷消费,或者为了加快产品开发流程,商户往往忽略对用户信息安全的关照。
 
  在互联网支付安全问题被热议的当下,携程漏洞门事件无疑雪上添霜。
 
  “黑色周末”
 
  3月22日18时许,乌云漏洞平台(WooYun)公布信息:“由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取”。
 
  所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞被指可能导致携程用户持卡人姓名、身份证、银行卡号、卡CVV码、六位卡Bin等信息外泄。黑客若获得这些信息,足以进行网购盗刷。携程方面随即于当晚22时左右发出声明,称已经在消息发布两个小时内修复问题,“尚未发现因相关问题导致客户信息泄露及造成损失的情况发生”。
 
  此次主动披露携程漏洞问题的乌云漏洞平台,是一个位于厂商和安全研究者之间的安全问题反馈平台。携程方面称,漏洞的敞开窗口是3月21日和22日,被乌云发现时是22日,因此这两日在携程网交易并使用信用卡支付的消费者可能存在风险。
 
  据多名互联网企业安全总监对财新记者的说法,乌云之前曝过很多大公司的漏洞,通常都是先通报给厂家,修复后才对外公布漏洞信息。但此次乌云先对外曝出携程漏洞,携程再紧急“打热补”,他们猜测,要么是携程内部出了问题,要么是携程“长期不搭理乌云的提醒”。翌日,携程方面经过彻夜排查,称仅“漏洞发现者”对携程的日志文件做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。“公司客服当天17时多就全部联系到人了,告诉他们发生了什么事情,帮助他们办理换卡事宜。”一名携程经理对财新记者透露,93名消费者都没有说什么,“我们给这些用户提供了500元礼品卡,还承诺如果用户真的出现盗刷情况,我们保证赔偿”。
 
  第一阶段紧急处置告一段落,接下来的疑问是携程的漏洞是如何产生的,其网络安全体系、工作流程有何不足。携程官方公告中寥寥数语介绍:“经查,技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。”
 
  曾在上海多家知名网站担任技术总监的周乔波从技术层面分析,携程此次问题是由双重因素共同导致的。首先是技术人员在排错过程中打开了Debug开关,导致页面操作信息被写入安全支付日志;然后是安全支付日志文件的目录没有做好安全基准配置,权限放开,没有及时关闭接口,然后没有及时删除临时目录,导致外界通过互联网可以浏览、遍历和下载日志。
 
  “不是每个网站排错都会用这种方式,这要看各公司对安全性的重视程度。携程这方面做的不好,但一定不是最差的。”周乔波说,此前的漏洞影响最多的是网站信息安全、注册用户个人资料,现在支付业务发展后,用户的银行卡信息更直接关系到用户财产安全,但一些公司不一定对此有足够的重视。
 
  在资深技术人员眼里,携程犯的是“低级错误”,“像写日志这样的工作,在公司里一般是刚毕业的小朋友或者实习生干的,如果没有严格的审核机制、代码的规范,出这样的错误就不出意料。”一位资深安全技术人员说。
 
  快捷支付的隐患
 
  让外界对携程质疑加码的是其违规存储了用户的银行卡CVV码信息。
 
  CVV即信用卡背后的三位验证码,在多数“无卡支付”环节,只需提供卡号及此三位验证码就可完成支付。
 
  《银联卡收单机构账户信息安全管理标准》明确规定,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码(CVV)、个人标识代码(PIN)及卡片有效期。这意味着这些信息原本就不该出现在携程的服务器上。
 
  携程的解释是,携程是将用户未扣款成功的CVV信息暂存七天,目的是为了协助用户便捷支付。“漏洞门”之后,携程表示,将对支付流程进行整改,取消对用户信用卡CVV信息的询问和登记,不再保留任何用户的CVV记录。
 
  在携程无主观使用用户银行卡信息牟利的假设下,为了用户的支付便捷,似乎是携程保存用户CVV码的唯一解释。事实上,在各个互联网企业对用户的争夺中,提供快速便捷的支付体验一直是重要筹码。
 
  登录进入携程网的支付界面,用户可以选择三种支付方式:信用卡、第三方支付、网上银行。如果用户选择后两种支付方式,下一步是直接跳转进入银行或者支付平台的页面进行操作;如果选择信用卡支付,则是停留在携程自有的页面进行输入,用户的信用卡信息就这样被携程录入,保留在其服务器上。
 
  周乔波介绍,国内很多网站利用信用卡协议,通过这样的方式拦截客户资料,不过通常都是将信息记录在数据库中,并非采用日志形式进行存储。携程上述漏洞暴露的日志存储行为并不是为了拦截客户数据,只是凑巧暴露了携程拥有客户CVV码等信息的事实。
 
  携程网与国内主要银行都签署了信用卡无卡支付协议。用户同意携程网保留其信用卡卡号和有效期等信息,则在其下次预订时只需提供所存信用卡的卡号后四位,以及信用卡CVV码或有效期,携程网就会根据其当初保留在系统中的信用卡授权信息,执行支付步骤。
 
  也就是说,无论是谁,只要掌握了用户的信用卡号、有效期、CVV码信息,就可以成功刷信用卡消费。
 
  近几年,在线旅游市场竞争激烈,如何让用户获得更便捷的消费体验,是携程、去哪儿、同程等比拼的焦点。多家在线旅游服务商都会提供“常用卡服务”的选项,初衷是为了方便客户交易,比如在进行舱位变更时,不需要每次更改信息都要求用户重复输入CVV码。
 
  随着移动互联网兴起,用户包括身份、银行财产等相关数据和互联网应用绑定越来越紧密,泄露风险和威胁也越来越大。而商家为了提高用户操作和消费便利性,或者为了加快产品开发流程,对安全问题往往心存侥幸。
 
  据中国电子商务研究中心发布的《2013年中国网民信息安全状况研究报告》显示,74.1%的网民在过去半年时间内遇到过信息安全问题,总人数达4.38亿,全国因信息安全事件而造成的个人经济损失达到了196.3亿元;因网上购物遇到过安全问题的网民达2010.6万人,其中因网购遭遇个人信息泄露和账号密码被盗分别为42.9%、23.8%;电脑网络支付时,资金被盗、被骗和账号密码被盗的比例达32.1%。
 
  奇虎360公司安全专家安扬介绍,在支付安全方面,国际上有一项PCI-DSS(Payment Card Industry-data storage security)标准,严格规定了网站不能保存哪些用户数据,以及规定网站必须采用加密数据传输等安全措施。在PCI-DSS规定的基本安全措施中,商户可以保存的信息是信用卡号、持卡人姓名、信用卡失效日、业务代码,禁止保存的包括CVV码、PIN、完整磁条信息(针对POS机刷卡)。
 
  “PCI-DSS”中文全称为支付卡产业数据安全标准,是由PCI安全标准委员会的创始成员(Visa、Mastercard等五大国际卡组织)制定并维护的一套保护持卡人数据的技术和操作基本安全要求,以有效降低网站发生数据泄露的风险,保护支付数据的存储和传输安全。国内目前通过PCI-DSS认证的企业包括网银在线、支付宝、快钱支付、盛付通、工商银行、民生银行、去哪儿等。
 
  但也有人质疑PCI的安全性,比如,国外两家零售商Target和Neiman Marcus都是PCI-DSS标准的合规企业,但都遭遇过黑客入侵,导致信息泄露。
 
  “出了事情之后,我们也在准备申请PCI系统认证。”携程内部的一位中层人士告诉财新记者,携程已启动PCI认证程序,以期更符合国内外安全规范,“这需要耗一定的成本和时间,去哪儿当初申请材料就准备了三个月。但这次事件给了我们教训,就是成本再大,这事也得做”。
 
  “白帽子”查漏
 
  近几年,用户信息泄露事件层出不穷。2012年的CSDN泄密事件曾引起哗然;去年10月,乌云(WooYun)漏洞平台发布报告称,如家、汉庭等大批酒店的客户开房记录因被第三方存储和系统漏洞而泄露。报告中,乌云曝光了网上下载酒店客户信息的过程,成功下载的客户信息中完整记录了入住酒店旅客的身份证、入住时间、入住的房间号码等隐私信息。
 
  此次披露携程漏洞问题的依然是乌云漏洞平台,这是一个位于厂商和“白帽子”(指一些善意公布公共网络安全漏洞的IT技术人员)之间的安全问题反馈平台,曾报告过腾讯、阿里巴巴、当当、京东商城、360等多个互联网企业的安全漏洞。
 
  乌云漏洞平台成立的动因,是业内的“白帽子”在发现网站漏洞后,缺乏渠道及时反馈给相应的网站。几位知名“白帽子”成立了乌云漏洞平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的发现和修复渠道。
 
  腾讯公司在其2012年度“漏洞奖励计划”工作报告中指出,2012年腾讯产品发现安全漏洞2288个,其中来自腾讯安全应急响应中心的有1910个;通过非官方渠道报告漏洞378个,主要来自乌云平台,提供了302个安全漏洞。
 
  “传统企业做互联网往往漠视安全问题,携程此次事件暴露了其安全意识淡薄。”这位资深安全技术人员说,事实上,国内金融系统的漏洞也很多,尤其是银行网络,只是因为黑客对政府有所忌惮,所以并没有暴露过太大的问题,但涉及到支付的相关合作公司,如果在安全性上有漏洞,就很容易成为攻击目标。
 
  他还介绍,重视安全的互联网公司一般都有专门的漏洞组做漏洞挖掘,也会鼓励同行提漏洞,甚至会付费。业内的规则是:“你发现漏洞,告诉我,我会给你钱,但是在我修复前不能公开”。
 
  除了民间的纠错和企业自查,来自监管的督促也是互联网安全体系建立的重要力量。互联网与其他各行各业日益渗透融合化的趋势,使得现有互联网管理体系暴露出诸多弊端。此前,“九龙治水”的分散管理是信息安全领域监管薄弱的重要原因。工信部、公安部、国家保密局、国家密码管理局、银监会、证监会等部门都有规章文件涉及个人信息保护。最近,国家成立了网络安全与信息化工作小组,集合各个部门的力量,符合互联网监管的趋势。
 
  2012年12月28日,全国人民代表大会常务委员会通过了关于加强网络信息保护的决定,从法律层面为网络信息保护提供了依据,但这是涉及个人信息安全的普适性原则。来自工信部电信研究院的专家向财新记者介绍,不同业务类型的互联网网络和业务应用系统,对它们的具体网络安全要求会有不同,不同行业的监管部门包括央行等都制定了相应的标准和具体的操作规范,“携程在一定程度上是银联服务的延伸渠道,银联对渠道也有自己的管理规范,携程理论上应该受到多类多级规范制约,但是在实际操作中纠察缺位”。
 
  发现问题之后的处罚力度也有待加强。根据相关规定,用户个人信息发生或者可能发生泄漏、损毁、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或备案的电信管理机构备案。电信管理机构依据职权要求企业限期整改,并可处于1万元以上、3万元以下罚款。
 
  “这个处罚并不是特别有力。”上述专家认为,除了加大处罚力度,还可以对发现问题的企业予以公示,“声誉对于企业来说格外重要,公示的影响力会对企业形成一定的威慑作用”。
 
  在携程内部看来,此次漏洞门事件对携程的影响并非经济损失,损失更大的还是声誉。漏洞事件曝光后首个交易日,携程股价盘前一度跌近10%。
 
  “机票门”持续发酵携程诚信再度遭拷问(2016年)
 
  经历了2014年用户信息“泄密门”事件之后,携程再度因违规机票问题受到消费者的质疑,互联网企业所重视的用户体验备受“忽略”,进而令企业的信誉问题也面临受到考验。
 
  经常因公司业务出差日本的傅先生是携程的钻石级成员。他近日去日本出差,在携程网上订购了从上海到东京以及东京到北京的两张机票,可是在回国时却遇到了麻烦。傅先生告诉《经济参考报》记者,1月7日他在日本的羽田机场办理值机的时候,柜台工作人员表示,他预定的机票已经被取消。傅先生随即电话携程客服反映情况,而后携程答应给他重新出一张票。在联系携程客服后,对方又提供了一张用名为石垣(ISHIGAKI)的人的积分兑换的机票,并要求他假装石垣的亲属以凭借积分乘机。而按照日航(其实也是绝大多数航空公司)的要求,积分兑换的机票仅供积分持有人和其直系家属使用,显然傅先生和石垣并没有关系,于是这张票被认定为无效票。而傅先生也被要求配合调查。在此过程中,傅先生的日本合作伙伴全程目睹。无奈之下,傅先生只能自己重新买了张机票。“他们并不相信这张无效机票是来自中国最大的在线旅游企业,而我便背上‘欺诈’的嫌疑。”傅先生气愤地表示,耽搁了时间,增添了麻烦不算什么,严重的是这种做法损失了他的信誉,毕竟这是一种偷窃积分兑换机票的行为。“此事不仅影响我的信誉,也可能让我留下不良记录。”
 
  此后,日本航空的中国同事告诉傅先生,他这次购买的两张机票都有问题。携程首先是偷了一个英航积分换了无效机票卖给他,结果因为涉嫌专卖积分票导致该张机票被认定为无效票;在其进行投诉后,携程又用另一个日本人的积分换了一张无效机票给他。
 
  对此,携程方面在回应中表示,经调查,此事系供应商人工操作失误,导致客人无法登机。携程已第一时间与该票台停止合作,并对票台做出了相应的处罚。同时,携程将承担客人损失并进行赔偿。对于类似问题,携程首先保障客人出行,并给予退一赔三的补偿。给客人出行造成不良体验,再次表示歉意。此类事件为小概率事件,携程每天机票客人到场无票发生概率低于万分之二。
 
  另外,1月11日,微信公众号“李淼”发文称,其于携程订购的北京至札幌往返机票在收到电子票号后,竟在航班起飞前被机场认定为无效。两位消费者投诉的携程假机票事件一出,立刻引发越来越多的消费者入场“吐槽”,不少消费者都表示遇到过类似情况。而投诉也不仅限于机票问题,各种预订酒店的问题也不断暴露出来。
 
  “近几年,互联网机票销售平台的盛行,在为消费者带来实惠便利的同时,也产生了不少问题,特别是不少平台以‘比价’的名义,通过低价引流,引诱消费者误购机票,然后再通过高额退改签费获利,要么加价销售机票、捆绑销售保险等手段,这严重侵害了旅客的权益。”一位旅游行业人士告诉记者。
 
  在事件爆发之初,对于携程把问题都推责给供应商的表态再度引发消费者的不满。“这好比我们在超市里买了假冒伪劣商品,超市能推责给供货厂商就完了吗?”一位消费者表示“携程在这些投诉事件中一再淡化自己的责任,这才是最让消费者不满的。”
 
  法律人士则认为,携程等第三方平台有责任和义务对供应商进行资质审核,出现问题时也要对乘客承担法律责任。而后的13日,携程再度发声,首次承认存在监管漏洞,例如一些做不到在规定时间内出票的供应商,采取了“先用个假票号应付,等实际出票后再补录”等不合规方法,躲避携程的监管。还有个别供应商在利益驱使下,明知故犯违规出票,损害了旅客权益。此前,对于部分供应商不会录入GDS全球机票分销系统的机票,携程采用的是人工抽验的方式审查。由于是按一定比例抽验,仍会有部分违规机票无法被监测到。在此次事件后,携程将对目前尚不能自动监控票号状态的供应商机票,全部进行人工核验。同时,会加强风控管理,从财务流程上对供应商给予约束。此外,携程还表示将严格执行对违规供应商的处罚力度,第一次发现,强制下线整顿,第二次发现,立即停止合作。
 
  公开资料显示,2013年底,携程推出开放平台,销售部分旅行社产品或机票产品。根据携程2015年第一季度财报数据,该季度有超过60%的机票交易量来源于第三方合作伙伴提供的产品。这意味着,大部分用户从携程购买的机票,实际来自第三方机票代理。
 
  事实上,这已不是携程第一次遭遇危机。此前的2014年,乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露,该事件令消费者心有余悸。
 
  “我是一名携程的老会员了,一直使用携程订机票、订酒店,也一直很信任携程,但实在没有想到会发生这样的事情,也让我这个老会员感到非常的伤心和失望。面对携程,消费者有时候真的无能为力。”一位曾经“受伤”的用户感叹道。
 
  中国人民大学商法研究所所长、中国消费者协会副会长刘俊海在接受《经济参考报》采访时表示,一味追求利润最大化必然使得企业放弃道德底线,包括携程在内的在线旅游企业需要摒弃利润最大化思维并且需要有社会责任担当,旅游产品质量、企业品质、企业背后管理者的品质要“三品合一”。严格的产品质量标准、营销标准、售后服务体系、内控体系与问责体系缺一不可。
 
  “携程既要有不断创新产品的智商、也得有受消费者尊重和信任的情商、更有敬仰、敬畏法律的法商、践行旅游行业最佳商业伦理的德商。”刘俊海直言,“企业要尊重消费者的知情权、选择权、公平交易权、索赔权,更重要的是治理参与权,希望携程能够欢迎消费者进入公司治理层面,倾听消费者的利益诉求,帮助企业更好的治理和更好的发展。”
 
  “诚信是企业立业之本,在激烈的、同质化严重的竞争下,只有把握消费者的心才能确保立于不败之地对于投资人而言,企业的诚信也是至关重要的。”上述行业人士坦言。投资者,特别是海外投资人,对于企业和企业家家的诚信一直都十分关注。近两年来,包括携程在内的一大批中国企业也接连登陆美国市场,而诚信问题一直是“中概股”挥之不去的阴影。
 
  期待着携程再来一场“承担责任,从心出发”的危机公关!
 
 
 
 
 

本文来自信息化观察者网,转载请注明出处。

 

微信扫码加入知识星球,获取本站1万+精选最新报告内容。

注:本站文章除标明原创外,均来自网友投稿及精选分享,本站严格注明版权原作者,如有侵权请联系dongxizhiku@163.com删除。

         

发表评论