攜程漏洞事件探因:核心IT人員僅六七名

發表於2014-03-31

葉亞明萬萬沒有想到,他在攜程網大幹快上的技術改造升級給其OpenStack團隊造成巨大壓力。這位攜程網新任技術副總裁自上任始,便對整個技術構架進行大刀闊斧的改革。

成也蕭何,敗也蕭何。

烏雲漏洞平臺上披露的一則信用卡支付“漏洞”,讓雄心勃勃的葉亞明絆了個大跟頭。這個漏洞雜湊是:bf9165488f5e2ea3ca02ec6b310446b0。

雖然在此前,烏雲網已經連續披露京東商城、支付寶等國內著名網際網路企業在使用者資訊保安防護中存在高危漏洞。然而,此次對於攜程漏洞的詳細描述——“通過信用卡支付的攜程網使用者姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼等資訊已有可能被黑客所讀取”挑起了公眾的敏感神經。

對於信用卡的這個“驚天漏洞”此前已陸續有媒體曝光,線上OTA網站無卡無密碼支付也是行業通病,但卻使攜程落馬了。

攜程的技術研發部和資訊保安部在業界頗具聲名,完全自建的攜程IT系統包括網站系統、線上交易系統、採購系統等子業務系統,從複雜性上來說,能與之媲美的唯有淘寶。

但關鍵是技術研發部與資訊保安部之間存在微妙的博弈關係,攜程的漏洞表面上源於部門員工偶然的失誤,實際則是OTA(線上旅遊代理)企業惡性競爭的必然結果。

他們的解釋

線上旅遊市場群雄逐鹿,佔有市場份額最大的攜程作為先行者一度領跑,過著一家獨大的好日子。然而,隨著藝龍、去哪兒等競爭對手的崛起,其龍頭地位早已岌岌可危。商業模式上,攜程依然仰仗著十幾年前創業之初確立的呼叫中心帶來業務量,而老對手藝龍早已在革命,砍掉線下發卡渠道全力發展線上銷售。

而攜程依然按兵不動,直到葉亞明的出現。

作為OTA行業的老大,經過十多年的發展,攜程逐步構建出自己的護城河——強大的IT系統。而這個核心部門一直以來頗為神祕,理財週報記者輾轉找到內部人士也拒絕媒體採訪。理財週報記者遂多方打聽,試圖揭開其鮮為人知的一角。

攜程的IT系統複雜且龐大,完全靠內部一步一步搭建。葉亞明到任後,在攜程完成了幾次重要的技術改進。據中國軟體開發聯盟CSDN公開資料顯示,攜程技術改造升級分別佈局於前後端。在網站前臺進行頁面改版,後臺以Open API(開放應用程式程式設計介面)的方式開放平臺資源,同時成立資料中心進行大資料處理。

雲技術只是葉亞明的小試牛刀,他更大的野心在對公司技術架構的革新,目前的攜程已經採用OpenStack這一雲端計算平臺來搭建。

他在佈一個長遠的局。

在葉亞明眼中,無線端的業務增長速度在未來將會遠遠超過呼叫中心。在新的架構下,可以將實體機器完全虛擬化。比如增加300個人,產生300個虛擬機器器就可以了,雖然人數增加,但管理機器的數量沒有變化,這就會提升效率。

可以想見,如果這一切都萬無一失的話,這堪稱葉亞明在攜程的偉大戰役。

但是,理財週報記者查閱中國軟體開發聯盟CSDN的公開資料時發現,攜程的OpenStack團隊總共加起來不到二十人,其中核心技術人員只有六七名,相比龐大的呼叫中心和無線端業務人員可謂九牛一毛。

千里之堤,毀於蟻穴。

就是這個搭建了龐大系統的部門,不久前卻因技術人員操作不謹慎,被黑客抓住把柄。

3月22日下午,烏雲漏洞平臺釋出訊息稱,攜程系統存在技術漏洞,可導致使用者個人資訊、銀行卡資訊等洩露。當晚11點,攜程技術人員對漏洞進行確認。23日早上7點,攜程官方訊息稱漏洞已經修補。

據烏雲網的說法,攜程將用於處理使用者支付的服務介面開啟了除錯功能,使部分向銀行驗證持卡所有者介面傳輸的資料包均直接儲存在本地伺服器。

而攜程公關部針對事件原因接受理財週報記者採訪時表示:“漏洞是攜程技術人員在對某個伺服器進行系統問題排查時,留下臨時日誌未及時刪除所致。”

關於技術排查,相關網站技術人員對理財週報記者進行了詳細描述:“所有網站在這一點上都是類似的,網站技術人員會定期對每個伺服器進行掃描,主要為了發現潛在的漏洞,並進行修補。這種掃描,有些網站由自己完成,也有會通過第三方機構掃描,由他們出具漏洞清單和修補意見。”

這種掃描漏洞的部門又稱為資訊保安部或者是風險控制部門,在攜程內部有獨立的資訊保安部門專門負責漏洞掃描和排查工作,但此次的漏洞卻為第三方平臺烏雲網所釋出。

攜程公關部對此向記者表示:“這部分資訊也是處於加密狀態,即使拿到資訊也要通過破解才能讀取。”這對黑客而言並非難事。

與此同時,理財週報記者致電另一家OTA企業,在其網站支付時與攜程一樣無卡無密即可成功。其CEO表示:“我們不是明文儲存的,我們是加密儲存的,攜程這個案例我們也看了,但具體情況不是很清楚。”對於當時未付款的客戶資訊,也沒有規定儲存客戶敏感資訊7天,具體也是由研發和審計法務的風控部門負責。

“拇指”+“水泥”

攜程事件只是冰山一角。

無卡無密碼便可支付的信用卡支付已是普遍現象。不管你是在攜程網,還是在同程網、藝龍網、芒果網等OTA網站,使用信用卡支付時同樣只需要卡號、有效期和CVV碼,並不需要密碼和卡。

“無卡無密這種支付方式是合理存在的,是行業規定的。像酒店預訂,以及攜程和類似的商旅網站通常會使用。原則上來講,商旅網站不應該儲存CVV等資訊,這是違規的,但銀行方面不瞭解網站是不是這樣做。”建行信用卡部辦公室工作人員肖瑞娟這樣告訴理財週報記者。而招行信用卡專員也肯定了這一說法,並稱採用這種支付方式的渠道很多,目前無法提供一個完整的列表。國外交易網站大部分也是通過卡號、卡面有效期、背面後三位碼就可以完成了。但有些網站需要萬事達或VISA驗證服務的話,會要求輸入查詢密碼來驗證。

但攜程的錯誤在於違規儲存客戶敏感資訊如CVV碼等,這明顯違背了央行規定。

根據央行《銀行卡收單業務管理辦法》第28條規定,收單機構不得以任何方式儲存銀行卡磁軌資訊或晶片資訊、卡片驗證碼、卡片有效期、個人標識碼等敏感資訊。並應採取有效措施防止特約商戶和外包服務機構儲存銀行卡敏感資訊。

對此,攜程方面對理財週報記者表示:“我們將在交易完成後刪除客戶的CVV資訊,不再儲存。以前儲存的那些CVV資訊,正在予以刪除。曾經存留的信用卡資訊在傳輸和儲存始終處於加密狀態,任何未經授權的人員都無法取得這些資料。”

但為什麼攜程要違規儲存客戶信用卡的敏感資訊呢?

“記錄資訊處於的思考層面會比較多,方便使用者是其中之一,方便自己做一些除錯等目的也是有的,但是我們也很難知道它具體還有其他什麼目的。可以肯定攜程不會自己盜刷使用者的卡。按理來說,這些知名的與支付有關的網站是可信的,他們不會做危害使用者的行為,只是有些規定並沒有執行好,是他們工作上的失誤。”國內最早提出網站安全雲監測及雲防禦的北京知道創宇公司研究部總監餘弦這樣告訴理財週報記者。

此次攜程漏洞就是因為開發人員開啟了除錯,留下了臨時日誌導致資訊有外洩的可能性。開啟除錯功能對開發人員意味著什麼?“因為程式開發中,如果開啟了除錯功能,則有利於程式設計師更精準地定位整個支付環節中的一些問題,可能會有利於他們的業務改進。不僅是開發新的產品,包括現有的支付環節,有可能在邏輯上有一些缺陷,比如BUG。除錯有利於程式設計師或者開發人員進一步改進他們的工作。”餘弦這樣解釋道。

這就涉及到研發部門與安全部門普遍存在的一個矛盾:開發為了滿足業務可能會疏忽了安全線。而安全部門可能會要求開發人員執行一些安全標準,但當執行這些標準的時候又可能會影響開發進度。“它們是兩個互相補充的部門,如果相互之間能配合好的話就不會出現攜程事件了。”餘弦向理財週報記者說道。

為此,有業內分析人士認為,攜程此次使用者資訊洩露事件,可能是無線研發推進過快而變相導致的。曾經參觀考察過攜程的大眾點評網技術部負責人也對攜程產品研發更新速度表示欽佩。攜程CEO樑建章在去年迴歸後的第一個重點就是推出“拇指+水泥”戰略,將更多資源偏向移動網際網路,所有最新的豐富旅遊產品都優先在移動領域嘗試。樑建章表示,無線客戶端代表的移動網際網路將是攜程突圍的一個關鍵點。在攜程內部,無線業務亦被因此稱為“二次創業”。

但餘弦認為與市場競爭關係並不大,“這與開發人員的安全意識有關”,餘表示。

“擦邊球”基因

既然無卡無密碼支付是行業常態,這個信用卡支付的“漏洞”早就有媒體曝光,但為什麼攜程的一個“漏洞”卻引起如此大的關注和討論?

“一是跟公民的財產有關係,使用者很在意;二是信用卡的快捷支付很方便,跟銀行卡不同,信用卡甚至都不用密碼;三是這個事情有很多黑公關炒作的成分在裡面,大肆渲染,不負責任地放大這件事。你有聽說這幾天有誰被盜刷了嗎?”餘弦這樣反問記者,作為安全圈的一員,他直言黑客根本不會盜刷炒作得人盡皆知的事情。

作為線上旅遊市場的龍頭,攜程的使用者波及面極廣。據悉,每天在攜程訂票的人數約80多萬。

從2012年藝龍挑釁攜程引起國內OTA價格戰開始,攜程就被動地處在各個小OTA公司的聯合圍剿中,先後投入這場戰爭的有藝龍、同程、去哪兒、芒果等。

惡戰一年多後,O他的格局並未改變。攜程雖然折兵損將,但依然穩居老大地位,2013年的財報也頗為亮眼,根據財報顯示:攜程2013年淨營業收入為54億元人民幣(約合8.9億美元),相比2012年增長30%。而藝龍2013年淨虧損1.68億元創下歷史新高。

除了真金白銀的價格戰,口水戰也幾乎沒有停止。攜程此次出現如此低階錯誤,更是難得的反擊時機。

拋開行業競爭的大環境,攜程本身攜帶“違規打擦邊球”的基因也許早就為此次事件埋下了伏筆,看似偶然的事件也凸顯了必然性。

攜程正是從“違規”中誕生的。十年之前,從行業來說,跨地區買飛機票是違反規定的,但攜程卻敢於推出一個全國性的網路訂票平臺。“這個違規是商業規則不成熟的表現。為什麼要改革,就是要改掉這些不合理,看上去合法,實際上它真的是違規的東西。所以攜程十年前做了這樣一個突破。”在攜程信用卡支付漏洞的前一天,CEO範敏曾這樣公開說道。

正是這樣的“甜頭”讓範敏更加大膽。

據知情人士透露,2009年以前,攜程伺服器並不留存使用者CVV碼,使用者每次購買機票,預訂酒店都需要輸入CVV碼;但2009年,範敏為了簡化操作流程,優化客戶體驗,拍板決定在攜程伺服器上留存CVV碼。

如今看來,正是當時範敏的這個決定為今天的“漏洞”埋下了隱患。

而攜程對本次事件最新的處理決定是:“我們將會按照監管部門的要求,儘快優化完善使用者的支付流程。加強內部排查所有可能存在漏洞,邀請國內知名網路安全專家對攜程系統進行會診。同時,我們已經啟動了CFCA和PCI的認證程式,以期更好地符合監管要求。”

問題是,此前攜程曾有意向接入該認證程式,但是公司工作人員去考察之後發現,攜程自身系統要整改難度太大,業務種類多且交叉多,如果按照該系統接入而整改會使架構都會有所變化,導致至今未引入CFCA和PCI認證標準。

“但是PCI也並非法律條款,只是支付卡大亨自己制定的規範,通過PCI不代表就能儲存使用者的敏感資訊,還要根據國內的規定。”PCI-DSS在中國的合作伙伴北京航天億展公司的工作人員這樣告訴理財週報記者。

而接下來,攜程面臨的不僅是引入PCI-DSS標準的技術考驗,更是如何重樹安全支付信任、重拾消費者信心的問題。

相關文章