携程信用卡信息泄露这事儿

我不是专门搞安全的，只是因为跟不少安全行业的朋友比较熟，所以，几乎是第一时间就看到携程在乌云上的漏洞信息了。之后顺手在微信朋友圈转了一条，然后过了一会儿发现这个事情发酵了。

[[110417]]

接着看到有不少朋友们在讨论要不要换卡，有几位对信息敏感的朋友已经第一时间联系了银行申请了换卡。

再然后，已经看到有人在朋友圈发布所谓的「携程信用卡信息被盗」的内容，多少令人哭笑不得。

诸多信息里，我的一位朋友发的信息，我个人认为可信度比较高，就发了一条微博：

携程的安全漏洞的小道消息「据说啊，是无线开了调试，存了日志，然后Web.config 开了目录遍历，才出的状况，主要是手机 App 这块出问题了。内部人员说用 Web 版本的没问题。」 用 Web 版本没问题? 是不是这样，自己拿主意吧。

如果这个信息是真的话，那么，开了调试功能开了多久? 日志有多大? 如果调试功能开得很短，那么不太可能那么巧被白帽子黑客发现。所以，我个人认为时间恐怕够长的了，问题是周六发生的，携程这样的公司不会有人周六加班调试吧，最最起码一天以上吧，一天的时间会有多少业务量? 真的只有那么几笔?

我不知道。

我之所以说「自己拿主意」，其实还是怕误导别人，万一我说没必要换卡，别人信用卡被盗刷了怎么办?

今天携程的一位朋友微博上给我私信，让我看一下携程的公告并且给转发一下。公告里说「经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及 93 名存在潜在风险的携程用户。」我无法判断这个信息的可信度，所以也不想转发，因为这个公告很明显还有其他问题。

看起来，携程是没通过 PCI DSS 认证(至少我找不到携程通过认证的信息)。PCI DSS 这个缩写的全称是: Payment Card Industry Data Security Standard，这是一个全球通用的支付卡行业数据安全标准，国内的几个旅游服务网站，我只看到一家是通过了这个认证的。好了，科普就到这里，如果好奇的话，请自行搜索即可。携程公告里说「携程用户支付卡信息…均按照国际信用卡支付安全标准要求」，其实是没什么说服力的，至少你这次是出了问题的啊，这怎么说?

有些企业对客户信用卡信息的处理，大概是有其历史问题，比如通过电话客服的时候，我不止一次遇到过有某家银行客服要我提供全部的信用卡卡号，和 CVV。你索取我信用卡卡号就行了，要我的 CVV (信用卡安全码，Card Security Code) 做什么? 我怎么知道你会不会把我的信用卡信息泄露出去? 一般遇到这样的情况，我就拒绝提供。放心，客服业务流程一样能走通。别问我哪家银行了，就是号称服务好，但其实经常给用户发垃圾信息的那一家。此外，以前我还遇到在一些饭店吃饭，刷卡的时候，收银员把我的信用卡卡号码刮在小票上去，说是和银行活动验证用。其实银行的活动只需要验证后几位数字就可以，你保留全部信息做什么? 作为个人用户，对自己银行卡的信息最多也只能敏感到这样了。又不能不用信用卡。

一般来说，如果商家没有能力去保护用户信用卡信息，最好的办法就是尽可能的不要存储它们。如果你看过《掘金黑客》那本书，里面的一个细节就是，黑客们专门去入侵一些安全意识薄弱的线下商家的收银系统，把信用卡信息拿走。

携程这次的应对，总体上还是过得去的。比预期的要好，毕竟这是一家不那么互联网化的公司。如果要提不足之处，我想说其实携程没必要自己去弄一个安全应急响应中心，弄了也没有谁敢去你那里提交漏洞，万一被你抓了咋办? 最好的办法就是去乌云网站跟白帽子黑客们有效互动，比如创建正式的官方帐号，然后最起码要技术总监级别以上最好是 CTO (如果有的话) 去订阅最新安全信息，这样才可能有效地应对突发情况。对了，好好感谢一下发现漏洞的白帽子黑客。 我觉得这次事件对携程来说，这已经是最好的结果了。

另外一件比较重要的事儿，尽早通过 PCI DSS 认证吧。

声明：我手里目前不持有携程股票。

乌云(WooYun.org)是国内最大的第三方漏洞报告平台，这是个很重要的网站。如果你是互联网公司的技术负责人，最好早点去关注乌云的信息。对安全不重视，到头来吃亏的还是自己，我只能说到这里了。