携程信用卡信息被泄露,除了更换信用卡还有什么别的好方法处理么?

消息来自乌云: 携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin) 携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。(类似IIS或Apache的访问日志,记录URL POST内容)。 同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取…
关注者
1466
被浏览
121899

56 个回答

换卡,无他。
——————————————————
写回答之前给了某个排名靠前的一个答案反对,回答后有人坚持批评我的吐糟和题目无关,那本人就展开回答,也算回应。

接下来所说的,纯粹是在假设信息已经泄露这种极端情况下的应对方案,不代表本人对携程此次事件风险大小的判断。如果你觉得自己不是或不会是此次泄漏事件的受害者,请无视所有啰嗦。

一、有没有别的好方法
答案是相同的——换卡,无他。
携程订票这种属于线上无卡交易。根据交易规则,持卡人仅需向商户(携程)提供自己的姓名拼音、卡号、有效期及卡片背后的CVV码就可以通过发卡银行的授权系统,完成交易。整个交易全电子化,非常简单,是信用卡便捷性服务的一种。而这些信息,是一张信用卡发卡后就确定的,不能改变的。如果是信用卡磁条信息泄露,还可以到银行经特殊的机器修改磁道中的验证信息,从而不用换卡,但用于网络交易的这些信息是没法更改的,因此只有换卡。

二、错误原因
银行的整个风控流程都是在做加法,也就是说极力避免让一个操作人员能够完成所有的操作步骤,甚至同一个环节的一个步骤,这也就是为什么银行柜台后面会有个主管在各个柜台人员背后走来走去,那是在做复核。正是因为非常简单,信用卡网络交易也就存在巨大的安全隐患——信用卡信息集中——泄露。
就携程这种服务方式而言,泄露有两种。其一,客户在网页或客户端自己填写信用卡信息;其二,客户通过人工客服报送信用卡信息。这两种流程中,携程的工作人员都可能知晓并记录客户信用卡完整交易所需信息,从而爆发风险。为了控制这种风险,就需要相应的规则,即:1)携程应该禁止客服人员通过客户口头告知交易所需信用卡信息;2)携程的计算机系统不应该存储上述信息。这就好比你去银行柜台取款,银行绝对不能允许柜台工作人员向客户索取密码然后帮你输入密码。
但是,携程这次就这样干了。携程的客服在日常工作中经常让客户口头报全部的交易信息,这次还擅自存储了交易信息,而且还是明文,还能被外部下载……这就令人无语了。另根据@田勇智 的回答,携程根本就没有通过PCI-DSS认证……感情在裸奔。
当然,如此犯二的不止携程一家,这种信用卡信息大规模泄露事件之前也曾有过。2013年12月19日,美国第二大超市TARGET宣布有4000万张卡片的信息被泄露(上海游客美国旅游回来遭伪卡境外盗刷 损失逾3万)。2008年那次,一群黑客开着车子停在大型超市停车场,通过超市的无线网络侵入系统盗取了几千万张信用卡信息。这些事在美国都归保护总统的特勤处管(特勤处的大汉们真蛋疼)。


三、风险处理
如果此次携程违规存储的信息真的泄露了出去,那么有了这些信息,不法分子就可以轻松顺利地完成交易,银行也拦不住,按规则也没法拦。因此时间很宝贵,携程必须全力以赴尽快解决这一问题。
携程现在的声明说信息暴露时间很短,且未见除乌云外的其他人下载利用这些信息。对此外人无法判断真伪,不予置评。
除网站技术外,携程现在要做的是修排查那些客户的那些信用卡信息泄露了(如有),整理出来,通知泄露所涉及的客户,建议客户更换卡片。同时,联系各家受到波及的银行,告知泄露情况,请各发卡行对早泄露卡片做批次block处理。
就客户而言,如果你担心名列其中,特别是使用白金卡的各位土豪们,最好主动换张卡。如果客户告知银行自己的卡片信息可能泄露不安全,银行平时会很乐意帮助客户换卡(可以降低损失风险,省下防控成本)。只是考虑到携程的庞大用户量,这次如果主动申请换卡的客户太多,银行心里肯定也是一千万头神兽奔腾而过,态度怎样就不知道了。但再不济,客户自己想想办法,就说卡片磁条损毁,刷不出来了呗……
其实换个卡很简单,没有多么麻烦,别想得太严重。

四、附带吐糟
我还是要保留吐糟。因为工作需要,我也是携程的用户。作为一名前收单风控人员,我从一开始接触就发现携程客服人员在完成交易过程中存在的操作风险。明明可以手机按键输入卡片交易信息,却偏偏让客户口头报送(不知道是不是为了节约单笔业务通话时间),如果有工作人员手脚不干净,记录下这些信息,那可是可以卖钱的。再胆大些的,直接网络盗刷,买个游戏币或机票什么的,信用卡额度分分钟就被盗光了。
另外,携程的客服话术不精炼,导致单笔业务通话时间过长,浪费人力成本。航班票务信息系统过慢,经常查一个航班票务需要等很久。而这些信息用手机或网页在淘宝旅行、去哪儿网(纯举例非营销)等票务网站几秒钟就能搞定。订单不能合并支付,客服会在凌晨回电客户解决投诉问题等等等等……
操作风险、道德风险,都是相互关联的。流程及操作上没有问题,员工再坏也无从下手。之所以用自身的经历吐糟,包括吐糟其技术问题,是想说,如果这些最简单的风险管控和流程优化都无法解决,那么携程的整个技术水平和管理水平是值得怀疑的,出现今天这种大规模明文存储信用卡信息并出现泄漏风险,几乎是必然的。

五、信用卡网络使用tips
最好专门准备一张信用卡用于网络消费。做好卡片总额限制,并设定单笔和单日限额,大额消费毕竟不多(央行统计上海地区约80%个人年网络消费总额在1万元以下),就网上银行专业版吧。看在钱的面子上,别嫌麻烦。
或者如 @葛巾所建议,买个信用卡盗用的保险。
CVV2是信用卡在互联网、电话交易的最后安全屏障,如果卡号、有效期和CVV2一起被泄漏,除了换卡没有任何解决办法。

再来说说这件事携程处理的不专业的地方,可能也是国内公司普遍的处理方式:

1. 昨天事情在微博爆出后,携程官方微博发表如下声明:
我相关部门已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。目前没有用户受到该漏洞的影响而造成相应财产损失的情况发现。 携程对于乌云平台发现的漏洞信息表示非常重视和感谢并将对于提供漏洞信息者给与重奖。对于此次漏洞事件如果有新的进展将持续通报。
我们可以看出,携程虽然对这件事情很重视,但是完全没有考虑到对持卡人和客户的影响,站在自己的立场上发表的这样一篇不痛不痒的声明。

2. 今天早上7:11携程再次发表声明:

截图来自携程新浪官方微博
该声明虽然态度比起第一次声明要好很多,但是依旧没有说明该事件到底可能影响到那些那些持卡人和客户,对持卡人和客户的建议是什么。

我的建议:

1. 对于任何需要接收信用卡的公司都有可能发生此类事件,假如真的不幸发生此类事件后,相关公司应该完全透明的公开说明事件可能影响到的用户以及对用户具有可操作性的建议(承诺自己对盗刷进行赔偿就别拿来秀下限了)。
2. 根据目前爆出来的消息,对于个人来说,如果你最近(例如一周或者一个月)在携程有使用信用卡交易,建议拨打你的信用卡客服电话,说明原因,请求银行帮你换一张新卡(卡号、有效期、CVV2会变)。
3. 如果你觉得换卡太麻烦,或者你最近没有在携程使用过信用卡,建议持续关注此事或等待银行通知,如果客户信息泄漏需要换卡,一般银行也会主动联系你。

======================================================================

PS: 我根据爆出的信息帮携程撰写一份声明,如果大家觉得比携程官方的好就点个赞吧:

3月22日乌云(WooYun)漏洞平台发布消息称:“携程安全支付日志可遍历下载,这一漏洞导致大量用户银行卡信息泄露,包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin。”

该消息一经传出,我们便立即联系漏洞发布方进行沟通,并连夜彻查,发现漏洞是携程旅行网在3月21日的技术调试过程中,错误配置系统参数导致,目前已经修复该漏洞。

经日志审核发现,除了漏洞发现人做了少量的测试下载以外,目前尚没有发现该漏洞被其他人恶意利用。我们已经与漏洞发现人进行沟通并确认,要求漏洞发现人安全删除已下载的用户数据。

目前我们已经联系卡组织、各大发卡行说明情况,经证实,目前尚没有发现与该漏洞相关的用户信用卡被盗用的情况。

基于风险考虑,我们建议3月21、22日在携程旅行网有使用信用卡进行交易的客户,立即联系您的信用卡客服中心,说明情况并要求更换一张新卡。如果您在此次换卡过程中产生费用,携程旅行网将给予双倍补偿。

对此,我们向用户诚恳致歉,我们将进一步加强内审流程和风险控制流程,确保不再发生类似的事件。

======================================================================

补充答案:

对于互联网信用卡交易不管是否采用绑定还是每次输入的方式来执行,都存在同等的安全风险。国际上涉及信用卡交易的安全主要是要求相关企业通过PCI-DSS来保证其系统和业务流程是相对安全可靠的,PCI-DSS在2010年已经是强制要求,但是国内的特殊情况导致该标准在国内认知度不高,并且也没有按照卡组织的时间线来实施强制认证。
为什么?