攜程漏洞門涉違規難追責：新消法未規定如何處罰

　　專家認為，攜程存儲用戶敏感信息CVV碼的行為，違背了銀聯的相關規定，但攜程應承擔何種責任卻不明確，后續處罰也難以跟進

　　“烏云”壓“程”，“程”欲摧。

　　近日，國內漏洞研究機構烏云平臺曝光稱，攜程旅行網(以下簡稱“攜程”)存在信息安全漏洞，可能導致其信用卡用戶的身份證、卡號、CVV碼等多項個人隱私信息的泄露，一時間引發眾多用戶對攜程安全體系的強烈質疑。

　　據了解，所謂CVV碼，即Card Verification Value，是印在信用卡上的一組驗證碼，通常是由卡號、有效期和服務約束代碼生成的3位或4位數字。

　　“CVV碼是作為網絡無卡交易時的一種驗證碼，一旦泄露出去將給持卡人帶來很大的安全風險?！毙庞每ㄩT戶網站我愛卡網增值業務部總監董崢告訴法治周末記者。

　　攜程華北區公共事務部工作人員閆鑫在接受法治周末記者采訪時表示，攜程將在交易完成后刪除客戶的CVV信息，不再保存。以前保存的那些CVV信息，正在予以刪除。

　　攜程此前也發布公告稱：“我們將會按照監管部門的要求，盡快優化完善用戶的支付流程，排查所有可能存在漏洞，邀請國內知名網絡安全專家對攜程系統進行會診。同時，我們已經啟動了CFCA和PCI的認證程序，以期更好地符合監管要求。”

　　不過，攜程CVV碼安全漏洞事件所帶來的魔咒似乎并沒有因此得以完全解開，一系列相關的質疑仍在不斷涌現——攜程為何要存儲用戶的CVV碼？這一做法是否合規？CVV碼一旦泄露將給用戶帶來哪些損失？

　　攜程為何存儲用戶CVV碼

　　關于攜程安全漏洞的報告，由網友豬豬俠發布在烏云平臺上。

　　該報告指出，攜程將用于處理用戶支付的服務接口開啟了調試功能，使所有向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器。

　　同時因為保存支付日志的服務器未做嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意黑客讀取。

　　這些信息包括用戶的持卡人姓名、持卡人身份證、所持銀行卡類別(如招商銀行信用卡等)、所持銀行卡卡號、所持銀行卡CVV碼、所持銀行卡6位Bin(用于驗證支付信息的6位數字)。

　　豬豬俠在微博回復法治周末記者采訪時表示，目前其個人并不方便對該事件進行評論。

　　攜程發布公告稱，攜程在發現問題后立即展開技術排查，并在兩小時內修復漏洞。

　　攜程在公告中表示，經攜程排查，僅漏洞發現人做了測試下載，內容含有極少量加密卡號信息，共涉及93名存在潛在風險的攜程用戶。

　　在這個安全漏洞被曝光的同時，攜程保存用戶CVV碼等重要個人信息的行為也漸漸浮出水面。

　　閆鑫告訴法治周末記者，這些問題是由于攜程工作人員的疏忽所致，并且是該員工的個人行為，安全日志未及時刪除，所以后來才被烏云上的豬豬俠發現了這個漏洞。

　　“從安全角度來講，CVV碼是沒有必要去儲存的，商家也不應該儲存?！倍瓖樃嬖V法治周末記者。

　　既然如此，攜程為什么要存儲用戶的CVV碼呢？

　　閆鑫告訴法治周末記者，CVV碼其實就像銀行密碼一樣，主要是公司(即攜程)在和銀行進行對接的時候需要用到它，如果沒有CVV碼就無法同銀行進行支付業務。

　　“作為旅游行業的公司，往往會在預訂機票或者酒店的時候出現一個緩沖期，其間公司會和銀行以及供應商去確認房間與機票是否真正已經預定上，在這個過程中就會存在信息緩存的現象?！遍Z鑫表示。

　　此前一位攜程的工作人員也曾公開表示，以預定機票和酒店為代表的旅游產品，其價格會隨著庫存、預訂時間實時變化。對于在線旅游網站而言，將用戶的姓名、身份證、信用卡號、CVV碼等儲存起來，預訂反應機制會更加靈活，能優化消費者體驗。

　　攜程該工作人員稱，這或許是行業的一種潛規則。

　　董崢告訴法治周末記者，這就屬于無卡交易，用戶將用于支付的信用卡卡號、發卡日期、有效期、CVV碼等告知對方公司后，對方會在之后的消費過程中提示消費者繼續使用留有相關信息的那張信用卡。

　　“消費者確認該信用卡支付后，系統就會轉向那張卡和它已經存儲下來的CVV碼，如此就啟動了無卡支付流程?！倍瓖槺硎?，“目前國家對于無卡交易的商戶限定非常嚴格，無卡交易權很難拿到?！?/p>

　　近日也有消息曝出，早在2009年以前，攜程的服務器并不留存用戶CVV碼，用戶每次購買機票或者預訂酒店都需要輸入CVV碼；但2009年，攜程CEO范敏為了簡化操作流程和優化客戶體驗，最終決定在攜程服務器上留存CVV碼。

　　不過這一說法目前尚未得到攜程方面的確認。

　　閆鑫告訴法治周末記者，攜程以后一定會嚴格按照國家以及相關機構的規定，在客人支付完成后，立即將CVV等信息刪除。

　　專家稱攜程違規

　　中央財經大學中國銀行業研究中心主任郭田勇在接受法治周末記者采訪時表示，依照相關規定，攜程存儲用戶CVV碼的行為應屬違規。

　　銀聯2008年出臺的《銀聯卡收單機構賬戶信息安全管理標準》中規定，銀行卡受理終端僅限于保存當前交易批次內用于交易清分(清算的數據準備階段，主要是將當日的全部網絡交易數據進行匯總、整理、分類)所必需的基本信息要素，并在該批次結束后及時予以清除；各類受理終端均不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼、卡片有效期等敏感賬戶信息。

　　記者同時也發現，目前針對上述違規情況，《銀聯卡收單機構賬戶信息安全管理標準》中尚未明確銀行卡受理終端違規存儲用戶CVV碼所要承擔的相關責任。

　　“即便如此，相關部門仍可以根據具體情況酌情對違規者進行處罰?！惫镉卤硎?。

　　中國政法大學民商經濟法學院教授吳景明坦言，有規定但是沒有處罰細則，這樣違規者也很難得到應有的制裁，所以經營者往往敢于違規操作，這也是當前存在的一個欠缺。

　　吳景明告訴法治周末記者，如果商家因違規給消費者造成損失，可以按照其他相關規定，如侵權責任法、消費者權益保護法等對其進行制裁。

　　對于攜程保留客戶信息是否將面臨處罰的問題，閆鑫表示，目前還沒有得到任何相關通知。

　　吳景明表示，新消法中也對信息泄露問題進行了明確規定，即商家對消費者的個人信息要進行嚴格的保密義務。保護個人信息已經成為現代社會尤其是網絡時代一個非常重要的內容。

　　CVV碼泄露的潛在風險

　　董崢告訴法治周末記者，Visa和MasterCard是國際上兩大信用卡組織，CVV碼是Visa的稱謂，萬事達則稱作Card Validation Code，即CVC碼。

　　“雖然稱謂不同，但是它們的功能卻是一樣的?！倍瓖槺硎尽?/p>

　　據董崢介紹，在正常情況下，信用卡到期換卡時卡號是不變的，CVV碼則是變的，它是個隨機號。而且這個隨機號甚至連銀行都不知道，不計入銀行數據庫，相當于一個隨機驗證碼。

　　“在信用卡信息里，CVV碼和卡片號都非常重要，很多消費者的信用卡被盜刷就是因為兩個號碼同時泄露出去了?！倍瓖樃嬖V法治周末記者。

　　在游俠安全網創始人張百川看來，攜程存儲用戶CVV碼的行為，具有較大的安全風險。

　　“攜程存儲CVV碼是出于自身方便的目的，但是它很難保證這些信息在其系統內的安全，而一旦這些數據泄露出去，必將給消費者造成較大的損失，這肯定是與安全相悖的?！睆埌俅ǜ嬖V法治周末記者。

　　對此，攜程方面曾發布公告稱，攜程客服于3月23日已全數通知相關用戶更換信用卡，并給予上述93名用戶每人500元任我行禮品卡作為補償；經各銀行反饋，截至目前，沒有發生攜程用戶信用卡被盜刷的情況。

　　“這93人并不是真正遇到了信息泄露的問題，只是他們的信息存在潛在的風險?！遍Z鑫告訴法治周末記者。

　　閆鑫同時也表示：“實際上這93人名單也是經過加密的，并不是任何人下載這個日志后就可以隨便看到里面內容的，不過作為黑客確實有這樣的技術能力?！?/p>

　　那么，如果將來出現因此次信息泄露導致的消費者損失的情況，攜程又將如何處理？

　　對此，閆鑫表示：“如果將來出現了消費者因此次信息泄露導致的信用卡被盜刷的情況，攜程肯定會在第一時間配合相關部門如公安機關等去積極調查這一問題?！?/p>

　　攜程在公告中承諾，未來如果因安全漏洞引起用戶損失，攜程將承擔全部責任并給予賠付。

　　閆鑫還告訴法治周末記者，攜程現在已經及時修補了漏洞，目前所有用戶的信用卡信息也都是安全的，大家不用急于去換卡，攜程不想因此給消費者造成極大的恐慌，以后也會在安全方面繼續加大投入。

　　攜程剛啟動PCI認證

　　在一些業內人士眼中，攜程此次出現安全漏洞，與其一直未做PCI標準認證有著較大的關聯。

　　國內首個提供PCI合規咨詢與認證的機構——北京航天億展科技有限公司(以下簡稱“航天億展”)的一位相關負責人對法治周末記者表示，PCI是一套針對支付卡行業的國際安全認證標準，主要對持卡人數據在公網上傳輸、存儲、處理進行安全認證，防止卡支付的數據泄露。

　　該負責人進一步表示，凡是業務中涉及到對持卡人數據的存儲、傳輸和處理的公司，都建議做PCI認證。Visa和銀行也會強制涉及到外卡業務的第三方支付公司通過PCI認證。

　　不過某旅游網站工作人員告訴法治周末記者，目前大多數電商都還沒有通過PCI認證，但是也都是按照相應的規范去執行的。

　　“在線旅游網站中，去哪兒網已經通過了PCI認證，但是攜程則沒有?！睆埌俅ū硎尽?/p>

　　攜程在曝出安全漏洞后也在其公告中稱，已經啟動了PCI認證程序，以期更好的符合監管要求。

　　那么，為何攜程此前一直沒有加入該項認證？

　　閆鑫告訴法治周末記者：“國家并未強制規定電商一定要加入這個認證才可以在網上進行支付，它只是一個商業性標準。”

　　不過有消息稱，此前攜程曾有意向接入該系統，但是公司工作人員去考察之后發現，攜程系統要整改難度太大，業務種類多且交叉多，如果按照該系統接入而整改會使架構有所變化。

　　閆鑫表示，目前尚未獲知這一情況。

　　據航天億展相關負責人介紹，企業要申請通過此認證，并沒有具體的資質要求，只要是有完善的網絡系統就可以在專業的PCI合規咨詢及認證機構的指導下，完成差距分析和整改工作，并最終獲得PCI認證。

　　不過該負責人告訴法治周末記者，PCI標準有6大項目，下屬12個中型項目，再細分為242個小型項目，終端細分為399個流程測試項，整個PCI標準基本就圍繞這些項目進行的，需要逐項對所需驗證的系統環境進行評估整改，直到滿足要求為止。

　　中國電子商務協會政策法律委員會副主任阿拉木斯告訴法治周末記者，電子商務領域發展較快，變化也較大，一般的鼓勵性、參照性、指引性的安全標準比較多。

　　“針對當前信息安全問題多發的現狀，以后在制定強制性標準以及相關法律的建設方面，還需要進一步加強力度。”阿拉木斯表示，“規范需要和法律法規相結合，不履行標準該承擔怎樣的法律責任，這也需要有相應的規定。”

　　不過阿拉木斯也坦言，相對來說，系統很難達到絕對安全，它是一個動態的過程，就像操作系統一樣，總會不斷有漏洞出現，需要不斷去打補丁修復，而這種動態性也是當前修法和立法所面臨的一個困境。法治周末記者蔡長春

　　鏈接

　　CFCA：

　　即中國金融認證中心(China Financial Certification Authority)，是經中國人民銀行和國家信息安全管理機構批準成立的國家級權威的安全認證機構，是重要的國家金融信息安全基礎設施之一。

　　PIC認證：

　　即支付卡行業數據安全標準(Payment Card Industry Data Security Standard)。Visa、MasterCard、American Express、Discover Financial Services、JCB這全球五大國際卡組織在2006年一起創辦了PCI安全標準委員會，并制定了這套保護持卡人數據的技術和操作的基本安全要求措施。