3月22日，18點18分。一個編號為54302的漏洞報告，被曝光在互聯(lián)網(wǎng)安全問題反饋平臺烏云(wooyun.org)之上，發(fā)布者是烏云的核心白帽子黑客“豬豬俠”。這份報告表明，攜程的一個漏洞會導(dǎo)致大量用戶銀行卡信息泄露，而這些信息可能直接引發(fā)盜刷等問題。

　　這一消息很快通過媒體廣為流傳，關(guān)注度甚至超過稍后曝出的另一條新聞《華為總部服務(wù)器遭美國安局入侵》，也超出此前曝光一些看似也很嚴(yán)重的漏洞。

　　一個讓用戶換卡的漏洞

　　這個漏洞是怎么回事兒?據(jù)介紹，由于攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能，將用戶的支付記錄用文本保存了下來。同時因為保存支付日志的服務(wù)器未做校嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意黑客讀取。

　　所謂遍歷通常是指沿著某條搜索路線，依次對樹中每個結(jié)點均做一次且僅做一次訪問。這一被歸類為“敏感信息泄露”的漏洞，被指可能導(dǎo)致大量攜程用戶的信息曝光，包括：持卡人姓名身份證、銀行卡號、銀行卡CVV碼、6位卡Bin等非常敏感的內(nèi)容。

　　攜程官方的解釋為：技術(shù)開發(fā)人員為了排查系統(tǒng)疑問，留下了臨時日志，因疏忽未及時刪除。不過MediaV公司CTO胡寧還是通過微博批評稱：“數(shù)據(jù)傳輸為明文，且線上竟長時間打開調(diào)試功能，導(dǎo)致系統(tǒng)日志中亦為明文，又未及時清理，所存儲的服務(wù)器還有安全漏洞”。

　　有攜程的同行對新浪科技表示，攜程在無線端有過不是非常安全的做法，這種方式雖然便于用戶操作，但存在一定的安全風(fēng)險。而攜程內(nèi)部人士對新浪科技表示，這是一次“意外”的安全事故，攜程并非有意保存用戶的相關(guān)信息，出現(xiàn)這樣的問題攜程內(nèi)部也覺得不可理解。

　　用戶們更是不可理解。這次漏洞外泄的信息，意味著用戶銀行卡的幾乎全部信息都存在曝光風(fēng)險，有了這些信息，信用卡被盜刷可能變成一件易如反掌的事情。

　　面臨最大風(fēng)險的，是來自于近期曾經(jīng)通過攜程無線端有過交易行為的用戶。攜程并沒有公布漏洞存在的時間和范圍，所以規(guī)避風(fēng)險的最佳辦法，就是立即聯(lián)系銀行換卡。

　　據(jù)招商銀行信用卡客服透露，這幾天有很多用戶已就攜程漏洞問題致電咨詢，其中大部分已經(jīng)采取立即注銷原有信用卡、另行開通新卡的避險措施。招商銀行工作人員介紹說，重新制作信用卡需要兩天時間，加上遞送大約需要一周時間，這期間信用卡無法使用。#p#

　　關(guān)鍵事項：CVV與PCI

　　面臨泄露風(fēng)險的信息中，CVV更是成為關(guān)注的焦點。

　　CVV(Card Verification Value)也被稱作CVC(Card Validation Code)，資料顯示，這部分信息是由卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字，一般寫在卡片磁條的2磁道用戶自定義數(shù)據(jù)區(qū)里面。CVV和CVC的生成方法是一樣的，只是叫法不一樣而已。

　　這個信息被用來在交易時進(jìn)行核對。CVV在聯(lián)機(jī)交易(刷卡)的時候核對，而在不實際刷卡的交易過程中，這個信息更是有著決定性的作用。不過值得詳細(xì)說明的是，我們通常在不刷卡的支付過程中，需要提供的信息其實叫做CVV2，也就是卡片背面簽名檔旁邊的三位數(shù)。

　　作為敏感信息，CVV2在互聯(lián)網(wǎng)支付等不刷卡的交易中，有著明確的處理規(guī)定。

　　根據(jù)中國銀聯(lián)發(fā)布的《銀行卡收單機(jī)構(gòu)帳戶管理標(biāo)準(zhǔn)》，各收單機(jī)構(gòu)系統(tǒng)只能存儲用于交易清分、卡片驗證碼、個人標(biāo)識代碼(PIN)及卡片有效期。磁道信息、卡片驗證碼、個人標(biāo)識代碼、卡片有效期只用于完成銀聯(lián)卡交易，不能用于除此之外的任何其他用途。

　　多家提供在線支付的服務(wù)商也對新浪科技表示，在實際操作中會根據(jù)相關(guān)規(guī)定，不會對用戶的相關(guān)信息違規(guī)存儲。與CVV相比，另一個讓攜程面臨指責(zé)的英文縮寫是PCI。

　　PCI，在金融業(yè)內(nèi)通常代指支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，即PCI-DSS(Payment Card Industry Data Security Standard)。制定PCI目的是為了優(yōu)化信用卡，借記卡和現(xiàn)金卡交易的安全，保護(hù)持卡人的個人信息，已防被他人利用。

　　在此次泄露事件中，有人指責(zé)攜程不具備符合PCI標(biāo)準(zhǔn)的資質(zhì)，并將此歸因于攜程在流程上出問題的原因。VeryCD創(chuàng)始人戴云杰就公開質(zhì)疑攜程：CVV2屬于不應(yīng)存儲的敏感數(shù)據(jù)。而有獲得PCI資質(zhì)的攜程同行告訴新浪科技，這個資質(zhì)申請并不容易，能通過也要耗時一年。

　　攜程究竟有沒有PCI資質(zhì)呢?官方給出的回應(yīng)是：攜程的做法，符合PCI-DSS規(guī)定。攜程將進(jìn)一步嚴(yán)格按照PCI-DSS的監(jiān)管要求執(zhí)行。#p#

　　93通電話與1個用戶

　　當(dāng)然關(guān)于PCI的討論并不是當(dāng)務(wù)之急，也有獲得PCI資質(zhì)也同樣出事的反例。對于普通用戶而言，最核心的問題是：我究竟安不安全?

　　詳細(xì)信息披露的缺乏，讓規(guī)模龐大的攜程用戶群體惴惴不安。官方的說法是：“經(jīng)攜程排查，僅漏洞發(fā)現(xiàn)人做了測試下載，內(nèi)容含有極少量加密卡號信息，共涉及93名存在潛在風(fēng)險的攜程用戶”。攜程將在23日逐個通知這93名用戶，沒有接到電話則表明“是安全的，無需擔(dān)心”。

　　93這個規(guī)模，相對于攜程只能算是極少數(shù)。一位22日在攜程平臺有過交易的用戶對新浪科技表示，并沒有收到來自攜程方面的電話通知。然而和另幾位近期有過攜程交易的用戶一樣，他們都對個人信息的安全表達(dá)了深度的擔(dān)憂，對攜程的信任感也降至最低。

　　實際上，新浪科技取得聯(lián)系的攜程用戶中，大部分已經(jīng)采取了換卡的處理方式。

　　好消息是截至目前，還沒有公開的信息顯示有攜程用戶因為這一漏洞遭遇損失。而不好的消息是，攜程信息泄露的情況，或許在更早之前已經(jīng)造成傷害。

　　廣西易搜科技CEO嚴(yán)茂軍就是一個案例。按照這位攜程鉆石卡會員的描述，今年2月25日一早，他的手機(jī)相繼出現(xiàn)多條信用卡消費的短信提示，有的以美元結(jié)算、有的以英鎊結(jié)算、有的以歐元結(jié)算，這幾筆扣款合計金額不到人民幣兩萬元。

　　幾番追究之后，嚴(yán)茂軍把懷疑對象鎖定在攜程身上，據(jù)他的描述只有和攜程賬號綁定的三張信用卡，在2月25日那天出現(xiàn)了十幾筆盜刷外幣的事件，而其另外的三張信用卡則相安無事。不過嚴(yán)茂軍所提出的質(zhì)疑，沒有其他更為嚴(yán)密的證據(jù)能夠證明，也很難讓攜程就此承認(rèn)。

　　“我是這幾家銀行白金客戶，擁有72小時賠付，如果不是我的責(zé)任被盜刷，我無須自己支付，由白金保險承擔(dān)”，在與新浪科技溝通時嚴(yán)茂軍說攜程的安全漏洞或許成為銀行的借口，他擔(dān)心一旦出現(xiàn)問題會有很多非白金的用戶需要自行承擔(dān)損失。

　　一位銀行業(yè)內(nèi)人士也對新浪科技表示，出現(xiàn)盜刷其實很難追究責(zé)任。#p#

　　對話白帽黑客豬豬俠

　　出現(xiàn)與信用卡有關(guān)的漏洞，自然會聯(lián)想到與黑客有關(guān)的地下產(chǎn)業(yè)鏈。

　　網(wǎng)上關(guān)于黑客以及黑客背后暴利生意的報道，多年以來一直廣為流傳。國內(nèi)外與黑客有關(guān)的信息盜取事件也層出不窮，例如2011年12月中國最大程序員網(wǎng)站CSDN報案稱遭遇黑客攻擊、600余萬用戶信息被泄露;去年12月，美國第三大零售商Target的4000萬顧客信用卡數(shù)據(jù)被盜。

　　知名互聯(lián)網(wǎng)信息安全專家sunwear在新浪微博中表示，黑客圈做信用卡產(chǎn)業(yè)很成熟，歐美臺日等都是黑客的目標(biāo)，很多網(wǎng)站都會儲存信用卡的卡號、CVV、到期日等信息，渠道太多攜程只是冰山一角，雖然很多數(shù)據(jù)是加密或隱藏信息但不一定好使。

　　他還放出一張某黑客位于荷蘭的服務(wù)器中的信息截圖，“其中的信用卡資料來自中東某航空公司和幾個臺灣網(wǎng)站，總量在700萬條左右，按照黑客圈價格歐洲的卡一張可以做出幾百塊，你們自己想利潤吧。不過我看到時數(shù)據(jù)已經(jīng)放那一年里，早被洗過了”。

　　不過并不是所有的黑客都從事這樣的生意。黑客中有一類被稱為白帽黑客，他們主要利用自己的技術(shù)測試網(wǎng)絡(luò)和系統(tǒng)的性能，并不通過這種方式牟利。

　　這次披露攜程漏洞的，就是烏云平臺的核心白帽黑客豬豬俠，在微博上他的ID是一串英文名，而他五位數(shù)的QQ使用的又是另一個三字中文名稱。豬豬俠有著一串驕人的戰(zhàn)績，被他發(fā)現(xiàn)漏洞的企業(yè)包括：攜程、騰訊、優(yōu)酷、網(wǎng)易、盛大……僅在烏云披露的漏洞數(shù)量已達(dá)125個。

　　新浪科技問：“你為什么能發(fā)現(xiàn)這么多漏洞”。

　　豬豬俠回答：“產(chǎn)品經(jīng)理為了產(chǎn)品的易用性，會收集各種數(shù)據(jù)來改進(jìn)產(chǎn)品體驗”。

　　在交流中，豬豬俠似乎感受到了某種外在的壓力，他對新浪科技直言近期并不太想針對攜程漏洞一事發(fā)表過多的評論，而且目前已經(jīng)有相關(guān)部門介入此事。此外，他另外在微博上表示：目前本人已經(jīng)將安全測試涉及到的日志信息徹底刪除， 攜程也已經(jīng)及時修復(fù)漏洞。

　　對于攜程聲稱提供獎勵一事，豬豬俠說他也沒有當(dāng)真。實際上，攜程漏洞這件事被關(guān)注的程度，并不在豬豬俠的意料之內(nèi)，他事后總結(jié)說可能是因為這個漏洞直接與錢掛鉤。

　　“真正應(yīng)該火的是這個漏洞”，豬豬俠給了新浪科技一個鏈接：

　　那是一個3月21日，14點10分發(fā)布在烏云平臺，一個編號為54204的漏洞報告。這份報告顯示，騰訊QQ客戶端某默認(rèn)安裝空間存在嚴(yán)重安全缺陷，黑客可遠(yuǎn)程獲取任意好友的ClientKEY;結(jié)合另外一個漏洞，即可繞過騰訊單點登陸系統(tǒng)的IP訪問限制，登錄好友的全線QQ業(yè)務(wù)系統(tǒng)。

　　包括QQ空間、QQ相冊、QQ郵箱、騰訊微博等。顯然這中間隱藏著更大的隱私風(fēng)險，至截稿時，新浪科技就此咨詢騰訊方面尚未獲得回應(yīng)