携程信息泄露事件带来的思考

携程事件在微博上已经沸沸扬扬了，不少朋友还不太清楚整个过程，也不了解漏洞情况， 这个事件最早被曝光是在乌云(wooyun.org，白帽子漏洞发布平台)上的一个漏洞概述：

[[110424]]

漏洞详情描述：

由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

言下之意就是你只要用了这个接口进行支付，你提交的信息就被存在了服务器，如果有黑客可以入侵该服务器的话，就能读取到这些内容。携程官方给出的评论是说在调试过程中间，有两小时左右用户的支付信息是被明文保存在服务器上的，其中最严重的是信用卡信息泄露，包括但不限于持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等。比较幸运的是，这些数据没有被保存在任何数据库里面，只是存在日志中间，看起来很像是一场意外，比起一些直接保存私密信息进数据库的行为，这个从责任上看是疏忽，不算是恶劣行径。

但是注意，上面说的是如果有黑客入侵的情况。事实上还真就能入侵， 因为存在另一个漏洞——安全日志可以遍历下载! 这个的原因据携程自己人说是webconfig开了目录遍历，具体情况我也不太清楚，然而就是这个遍历漏洞，把影响扩大了，导致用户不得不去换卡，人心惶惶。但是这个漏洞也某种程度转移了注意力，让携程把用户的目光转移到：消灭遍历漏洞，就能保护住用户隐私安全了。那么如果这个安全日志遍历的漏洞没有爆出来的话，就是安全了吗?

这就好比你在我的店里消费，刷卡， 我拿去刷POS机的时候，把你的卡号和密码记在了一张纸上，如果我把它锁到一个保险箱里，我也不盗你的卡，你我都会相安无事，但是很不幸有一天保险箱被人撬开了，你的卡被盗刷了， 这下麻烦就来了。 携程很不幸就中了这个奖， 我认为作为一个上市公司，这个是开发人员的疏忽，不应该影响整个网站的安全信誉，我相信携程一定会重视和警惕此类事件。然而这个事件带来的问题是，到底有多少网站有潜在泄露我们隐私的风险?有哪些网站在明文传输和保存我们的私密信息?

很不幸，这个答案多到让人难以想象， 因为国内的安全意识还处在上个世纪的水平， 直到去年安全行业火了一把后，大家才开始注重网络安全。很多用户在上网的时候，并不会较真一些网站的声明，而采取了默认的信任。 而在国外，只要涉及敏感用户隐私的网站，都需要一个非常复杂的声明，声称绝对不会存储不该存储的信息，也不会向用户询问隐私信息(反诈骗提醒)。 

可见，网络安全技术上固然复杂繁琐，但是技术问题不可怕，可怕的是意识问题。 我们在工作中间无论是无心还是有意的，没有把用户隐私放到一个神圣的地位来对待。用户本身也不会发现，你平常去一个网站，你很可能使用的就是你支付宝的密码， 如果这个网站保存下来了，你根本就察觉不到， 如果被泄露了， 在现行法律下，执法机构抓不到黑客的话，也很难追究到网站的责任，这个苦水就只有自己吞了。

而在国外， 身份窃取或者是信用卡诈骗都是联邦重罪， 为了预防和打击可能的犯罪，信用卡公司和金融机构每年投入大量的经费，联合治理网络支付安全。其中最著名的是 PCI-DSS compliance 以及信用卡3D验证，其中PCI 是预防信息泄漏， 3D是防止盗取信息者牟利。

什么是PCI-DSS呢? 携程的这个接口属于站内支付，在国际上有一个标准是用来管理支付网站安全的，简称是PCI compliance， PCI就是 Payment Card Industry， DSS就是data storage security——数据安全，PCI这个标准要求非常高，是需要时事更新的。提供PCI验证服务的公司通常会多方面地地毯式扫描，会找出各类漏洞， 还要你在申请的时候严格申明不能保存不该存的信息，以及不可以不使用 SSL 加密数据传输(避免数据嗅探)。我以前自己的网站申请过first data等公司的站内支付服务，PCI将我折磨地不行，而且每3个月都需要更新一次。明天我会写一篇自己小白时期申请PCI的惨痛经历。

再说一下3D验证， 这个在不同国家有不同的做法，多数是通过大数据检验你是否是在常用设备和IP上登录，以及你的行为是否正常(盗取paypal的黑客即便是在被盗用户自己的机器上都有可能在提现时被锁号) 如果不是的话弹一个小窗，需要输入更加隐私的信息， 可以是银行的密码保护问题，也可能是生日，社会保险号等，目的是验证使用者确实是你。

以上两路大招加起来是否能完全避免信息泄露的损失呢? 当然也做不到100%绝对安全， 但是至少这体现了一种态度和意识。国内大多数公司平常不把安全落实到实处， 得过且过，顺其自然。 等到出了问题的时候再修复和危机公关。我相信携程一定有能力做到完全的PCI compliance 并且时时刻刻保持更新， 也有这个实力去把网络安全措施做到国际水准，但是它却没有做到，就跟大多数其他网站一样。那为什么没有机构去监管这样的行为呢? 在一个连地沟油毒奶粉没有FDA这样的严格标准监管的地方，PCI确实不是一个性价比高的东西，还不如花点钱多投点广告来点流量更实际。