攜程漏洞門涉違規(guī)難追責(zé)：新消法未規(guī)定如何處罰

　　專家認(rèn)為，攜程存儲用戶敏感信息CVV碼的行為，違背了銀聯(lián)的相關(guān)規(guī)定，但攜程應(yīng)承擔(dān)何種責(zé)任卻不明確，后續(xù)處罰也難以跟進(jìn)

　　“烏云”壓“程”，“程”欲摧。

　　近日，國內(nèi)漏洞研究機(jī)構(gòu)烏云平臺曝光稱，攜程旅行網(wǎng)(以下簡稱“攜程”)存在信息安全漏洞，可能導(dǎo)致其信用卡用戶的身份證、卡號、CVV碼等多項個人隱私信息的泄露，一時間引發(fā)眾多用戶對攜程安全體系的強(qiáng)烈質(zhì)疑。

　　據(jù)了解，所謂CVV碼，即Card Verification Value，是印在信用卡上的一組驗證碼，通常是由卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字。

　　“CVV碼是作為網(wǎng)絡(luò)無卡交易時的一種驗證碼，一旦泄露出去將給持卡人帶來很大的安全風(fēng)險?！毙庞每ㄩT戶網(wǎng)站我愛卡網(wǎng)增值業(yè)務(wù)部總監(jiān)董崢告訴法治周末記者。

　　攜程華北區(qū)公共事務(wù)部工作人員閆鑫在接受法治周末記者采訪時表示，攜程將在交易完成后刪除客戶的CVV信息，不再保存。以前保存的那些CVV信息，正在予以刪除。

　　攜程此前也發(fā)布公告稱：“我們將會按照監(jiān)管部門的要求，盡快優(yōu)化完善用戶的支付流程，排查所有可能存在漏洞，邀請國內(nèi)知名網(wǎng)絡(luò)安全專家對攜程系統(tǒng)進(jìn)行會診。同時，我們已經(jīng)啟動了CFCA和PCI的認(rèn)證程序，以期更好地符合監(jiān)管要求?！?/p>

　　不過，攜程CVV碼安全漏洞事件所帶來的魔咒似乎并沒有因此得以完全解開，一系列相關(guān)的質(zhì)疑仍在不斷涌現(xiàn)——攜程為何要存儲用戶的CVV碼？這一做法是否合規(guī)？CVV碼一旦泄露將給用戶帶來哪些損失？

　　攜程為何存儲用戶CVV碼

　　關(guān)于攜程安全漏洞的報告，由網(wǎng)友豬豬俠發(fā)布在烏云平臺上。

　　該報告指出，攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能，使所有向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。

　　同時因為保存支付日志的服務(wù)器未做嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意黑客讀取。

　　這些信息包括用戶的持卡人姓名、持卡人身份證、所持銀行卡類別(如招商銀行信用卡等)、所持銀行卡卡號、所持銀行卡CVV碼、所持銀行卡6位Bin(用于驗證支付信息的6位數(shù)字)。

　　豬豬俠在微博回復(fù)法治周末記者采訪時表示，目前其個人并不方便對該事件進(jìn)行評論。

　　攜程發(fā)布公告稱，攜程在發(fā)現(xiàn)問題后立即展開技術(shù)排查，并在兩小時內(nèi)修復(fù)漏洞。

　　攜程在公告中表示，經(jīng)攜程排查，僅漏洞發(fā)現(xiàn)人做了測試下載，內(nèi)容含有極少量加密卡號信息，共涉及93名存在潛在風(fēng)險的攜程用戶。

　　在這個安全漏洞被曝光的同時，攜程保存用戶CVV碼等重要個人信息的行為也漸漸浮出水面。

　　閆鑫告訴法治周末記者，這些問題是由于攜程工作人員的疏忽所致，并且是該員工的個人行為，安全日志未及時刪除，所以后來才被烏云上的豬豬俠發(fā)現(xiàn)了這個漏洞。

　　“從安全角度來講，CVV碼是沒有必要去儲存的，商家也不應(yīng)該儲存。”董崢告訴法治周末記者。

　　既然如此，攜程為什么要存儲用戶的CVV碼呢？

　　閆鑫告訴法治周末記者，CVV碼其實就像銀行密碼一樣，主要是公司(即攜程)在和銀行進(jìn)行對接的時候需要用到它，如果沒有CVV碼就無法同銀行進(jìn)行支付業(yè)務(wù)。

　　“作為旅游行業(yè)的公司，往往會在預(yù)訂機(jī)票或者酒店的時候出現(xiàn)一個緩沖期，其間公司會和銀行以及供應(yīng)商去確認(rèn)房間與機(jī)票是否真正已經(jīng)預(yù)定上，在這個過程中就會存在信息緩存的現(xiàn)象?！遍Z鑫表示。

　　此前一位攜程的工作人員也曾公開表示，以預(yù)定機(jī)票和酒店為代表的旅游產(chǎn)品，其價格會隨著庫存、預(yù)訂時間實時變化。對于在線旅游網(wǎng)站而言，將用戶的姓名、身份證、信用卡號、CVV碼等儲存起來，預(yù)訂反應(yīng)機(jī)制會更加靈活，能優(yōu)化消費者體驗。

　　攜程該工作人員稱，這或許是行業(yè)的一種潛規(guī)則。

　　董崢告訴法治周末記者，這就屬于無卡交易，用戶將用于支付的信用卡卡號、發(fā)卡日期、有效期、CVV碼等告知對方公司后，對方會在之后的消費過程中提示消費者繼續(xù)使用留有相關(guān)信息的那張信用卡。

　　“消費者確認(rèn)該信用卡支付后，系統(tǒng)就會轉(zhuǎn)向那張卡和它已經(jīng)存儲下來的CVV碼，如此就啟動了無卡支付流程。”董崢表示，“目前國家對于無卡交易的商戶限定非常嚴(yán)格，無卡交易權(quán)很難拿到?！?/p>

　　近日也有消息曝出，早在2009年以前，攜程的服務(wù)器并不留存用戶CVV碼，用戶每次購買機(jī)票或者預(yù)訂酒店都需要輸入CVV碼；但2009年，攜程CEO范敏為了簡化操作流程和優(yōu)化客戶體驗，最終決定在攜程服務(wù)器上留存CVV碼。

　　不過這一說法目前尚未得到攜程方面的確認(rèn)。

　　閆鑫告訴法治周末記者，攜程以后一定會嚴(yán)格按照國家以及相關(guān)機(jī)構(gòu)的規(guī)定，在客人支付完成后，立即將CVV等信息刪除。

　　專家稱攜程違規(guī)

　　中央財經(jīng)大學(xué)中國銀行業(yè)研究中心主任郭田勇在接受法治周末記者采訪時表示，依照相關(guān)規(guī)定，攜程存儲用戶CVV碼的行為應(yīng)屬違規(guī)。

　　銀聯(lián)2008年出臺的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》中規(guī)定，銀行卡受理終端僅限于保存當(dāng)前交易批次內(nèi)用于交易清分(清算的數(shù)據(jù)準(zhǔn)備階段，主要是將當(dāng)日的全部網(wǎng)絡(luò)交易數(shù)據(jù)進(jìn)行匯總、整理、分類)所必需的基本信息要素，并在該批次結(jié)束后及時予以清除；各類受理終端均不得存儲銀行卡磁道信息、卡片驗證碼、個人標(biāo)識代碼、卡片有效期等敏感賬戶信息。

　　記者同時也發(fā)現(xiàn)，目前針對上述違規(guī)情況，《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》中尚未明確銀行卡受理終端違規(guī)存儲用戶CVV碼所要承擔(dān)的相關(guān)責(zé)任。

　　“即便如此，相關(guān)部門仍可以根據(jù)具體情況酌情對違規(guī)者進(jìn)行處罰?！惫镉卤硎?。

　　中國政法大學(xué)民商經(jīng)濟(jì)法學(xué)院教授吳景明坦言，有規(guī)定但是沒有處罰細(xì)則，這樣違規(guī)者也很難得到應(yīng)有的制裁，所以經(jīng)營者往往敢于違規(guī)操作，這也是當(dāng)前存在的一個欠缺。

　　吳景明告訴法治周末記者，如果商家因違規(guī)給消費者造成損失，可以按照其他相關(guān)規(guī)定，如侵權(quán)責(zé)任法、消費者權(quán)益保護(hù)法等對其進(jìn)行制裁。

　　對于攜程保留客戶信息是否將面臨處罰的問題，閆鑫表示，目前還沒有得到任何相關(guān)通知。

　　吳景明表示，新消法中也對信息泄露問題進(jìn)行了明確規(guī)定，即商家對消費者的個人信息要進(jìn)行嚴(yán)格的保密義務(wù)。保護(hù)個人信息已經(jīng)成為現(xiàn)代社會尤其是網(wǎng)絡(luò)時代一個非常重要的內(nèi)容。

　　CVV碼泄露的潛在風(fēng)險

　　董崢告訴法治周末記者，Visa和MasterCard是國際上兩大信用卡組織，CVV碼是Visa的稱謂，萬事達(dá)則稱作Card Validation Code，即CVC碼。

　　“雖然稱謂不同，但是它們的功能卻是一樣的?！倍瓖槺硎尽?/p>

　　據(jù)董崢介紹，在正常情況下，信用卡到期換卡時卡號是不變的，CVV碼則是變的，它是個隨機(jī)號。而且這個隨機(jī)號甚至連銀行都不知道，不計入銀行數(shù)據(jù)庫，相當(dāng)于一個隨機(jī)驗證碼。

　　“在信用卡信息里，CVV碼和卡片號都非常重要，很多消費者的信用卡被盜刷就是因為兩個號碼同時泄露出去了?！倍瓖樃嬖V法治周末記者。

　　在游俠安全網(wǎng)創(chuàng)始人張百川看來，攜程存儲用戶CVV碼的行為，具有較大的安全風(fēng)險。

　　“攜程存儲CVV碼是出于自身方便的目的，但是它很難保證這些信息在其系統(tǒng)內(nèi)的安全，而一旦這些數(shù)據(jù)泄露出去，必將給消費者造成較大的損失，這肯定是與安全相悖的?！睆埌俅ǜ嬖V法治周末記者。

　　對此，攜程方面曾發(fā)布公告稱，攜程客服于3月23日已全數(shù)通知相關(guān)用戶更換信用卡，并給予上述93名用戶每人500元任我行禮品卡作為補(bǔ)償；經(jīng)各銀行反饋，截至目前，沒有發(fā)生攜程用戶信用卡被盜刷的情況。

　　“這93人并不是真正遇到了信息泄露的問題，只是他們的信息存在潛在的風(fēng)險。”閆鑫告訴法治周末記者。

　　閆鑫同時也表示：“實際上這93人名單也是經(jīng)過加密的，并不是任何人下載這個日志后就可以隨便看到里面內(nèi)容的，不過作為黑客確實有這樣的技術(shù)能力。”

　　那么，如果將來出現(xiàn)因此次信息泄露導(dǎo)致的消費者損失的情況，攜程又將如何處理？

　　對此，閆鑫表示：“如果將來出現(xiàn)了消費者因此次信息泄露導(dǎo)致的信用卡被盜刷的情況，攜程肯定會在第一時間配合相關(guān)部門如公安機(jī)關(guān)等去積極調(diào)查這一問題。”

　　攜程在公告中承諾，未來如果因安全漏洞引起用戶損失，攜程將承擔(dān)全部責(zé)任并給予賠付。

　　閆鑫還告訴法治周末記者，攜程現(xiàn)在已經(jīng)及時修補(bǔ)了漏洞，目前所有用戶的信用卡信息也都是安全的，大家不用急于去換卡，攜程不想因此給消費者造成極大的恐慌，以后也會在安全方面繼續(xù)加大投入。

　　攜程剛啟動PCI認(rèn)證

　　在一些業(yè)內(nèi)人士眼中，攜程此次出現(xiàn)安全漏洞，與其一直未做PCI標(biāo)準(zhǔn)認(rèn)證有著較大的關(guān)聯(lián)。

　　國內(nèi)首個提供PCI合規(guī)咨詢與認(rèn)證的機(jī)構(gòu)——北京航天億展科技有限公司(以下簡稱“航天億展”)的一位相關(guān)負(fù)責(zé)人對法治周末記者表示，PCI是一套針對支付卡行業(yè)的國際安全認(rèn)證標(biāo)準(zhǔn)，主要對持卡人數(shù)據(jù)在公網(wǎng)上傳輸、存儲、處理進(jìn)行安全認(rèn)證，防止卡支付的數(shù)據(jù)泄露。

　　該負(fù)責(zé)人進(jìn)一步表示，凡是業(yè)務(wù)中涉及到對持卡人數(shù)據(jù)的存儲、傳輸和處理的公司，都建議做PCI認(rèn)證。Visa和銀行也會強(qiáng)制涉及到外卡業(yè)務(wù)的第三方支付公司通過PCI認(rèn)證。

　　不過某旅游網(wǎng)站工作人員告訴法治周末記者，目前大多數(shù)電商都還沒有通過PCI認(rèn)證，但是也都是按照相應(yīng)的規(guī)范去執(zhí)行的。

　　“在線旅游網(wǎng)站中，去哪兒網(wǎng)已經(jīng)通過了PCI認(rèn)證，但是攜程則沒有?！睆埌俅ū硎?。

　　攜程在曝出安全漏洞后也在其公告中稱，已經(jīng)啟動了PCI認(rèn)證程序，以期更好的符合監(jiān)管要求。

　　那么，為何攜程此前一直沒有加入該項認(rèn)證？

　　閆鑫告訴法治周末記者：“國家并未強(qiáng)制規(guī)定電商一定要加入這個認(rèn)證才可以在網(wǎng)上進(jìn)行支付，它只是一個商業(yè)性標(biāo)準(zhǔn)?！?/p>

　　不過有消息稱，此前攜程曾有意向接入該系統(tǒng)，但是公司工作人員去考察之后發(fā)現(xiàn)，攜程系統(tǒng)要整改難度太大，業(yè)務(wù)種類多且交叉多，如果按照該系統(tǒng)接入而整改會使架構(gòu)有所變化。

　　閆鑫表示，目前尚未獲知這一情況。

　　據(jù)航天億展相關(guān)負(fù)責(zé)人介紹，企業(yè)要申請通過此認(rèn)證，并沒有具體的資質(zhì)要求，只要是有完善的網(wǎng)絡(luò)系統(tǒng)就可以在專業(yè)的PCI合規(guī)咨詢及認(rèn)證機(jī)構(gòu)的指導(dǎo)下，完成差距分析和整改工作，并最終獲得PCI認(rèn)證。

　　不過該負(fù)責(zé)人告訴法治周末記者，PCI標(biāo)準(zhǔn)有6大項目，下屬12個中型項目，再細(xì)分為242個小型項目，終端細(xì)分為399個流程測試項，整個PCI標(biāo)準(zhǔn)基本就圍繞這些項目進(jìn)行的，需要逐項對所需驗證的系統(tǒng)環(huán)境進(jìn)行評估整改，直到滿足要求為止。

　　中國電子商務(wù)協(xié)會政策法律委員會副主任阿拉木斯告訴法治周末記者，電子商務(wù)領(lǐng)域發(fā)展較快，變化也較大，一般的鼓勵性、參照性、指引性的安全標(biāo)準(zhǔn)比較多。

　　“針對當(dāng)前信息安全問題多發(fā)的現(xiàn)狀，以后在制定強(qiáng)制性標(biāo)準(zhǔn)以及相關(guān)法律的建設(shè)方面，還需要進(jìn)一步加強(qiáng)力度?！卑⒗舅贡硎荆耙?guī)范需要和法律法規(guī)相結(jié)合，不履行標(biāo)準(zhǔn)該承擔(dān)怎樣的法律責(zé)任，這也需要有相應(yīng)的規(guī)定?！?/p>

　　不過阿拉木斯也坦言，相對來說，系統(tǒng)很難達(dá)到絕對安全，它是一個動態(tài)的過程，就像操作系統(tǒng)一樣，總會不斷有漏洞出現(xiàn)，需要不斷去打補(bǔ)丁修復(fù)，而這種動態(tài)性也是當(dāng)前修法和立法所面臨的一個困境。法治周末記者蔡長春

　　鏈接

　　CFCA：

　　即中國金融認(rèn)證中心(China Financial Certification Authority)，是經(jīng)中國人民銀行和國家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的國家級權(quán)威的安全認(rèn)證機(jī)構(gòu)，是重要的國家金融信息安全基礎(chǔ)設(shè)施之一。

　　PIC認(rèn)證：

　　即支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(Payment Card Industry Data Security Standard)。Visa、MasterCard、American Express、Discover Financial Services、JCB這全球五大國際卡組織在2006年一起創(chuàng)辦了PCI安全標(biāo)準(zhǔn)委員會，并制定了這套保護(hù)持卡人數(shù)據(jù)的技術(shù)和操作的基本安全要求措施。