■杜磊
携程网漏洞“乌云”笼罩全行业
■杜磊
近日,国内知名漏洞报告平台乌云公布了一则关于携程的漏洞信息,称大量用户银行卡信息可能泄漏,让曾经用信用卡在携程消费过的用户陷入恐慌。就在同一天,继工行、农行、中行后,建行也完成了对快捷支付转账额度限制的下调。
据报道,携程违反银联规定,将用户支付的记录用文本保存了下来,包括用户姓名、身份证号、银行卡号和CVV码(即信用卡背面右下角的三位数字)。用户信用卡的CVV码被视为密码或签名,在一些消费场景下,如利用相关信息注册第三方支付账号后,拥有这个验证码就可以等同用户使用信用卡后签字的过程,交易会被银行认可。
这一明显违规的操作行为,使得网络支付安全再次成为关注焦点。甚至有业内人士悲观认为,在传统金融业与互联网金融激烈博弈之际,此事件将成为央行收紧互联网金融的一个最好的理由,从而成为互联网金融发展的一个分水岭。
在过去几年的时间里,互联网金融一路高速发展,其与传统金融业的博弈亦日益深化,同时引起了监管层的重视。携程网的漏洞门事件,正发生在传统金融业与互联网金融激烈博弈的风头浪尖上,这个时期监管部门正以用户安全为由,要对第三方支付施加诸多限制。
携程网漏洞泄露用户支付消息,本来是个互联网公司的技术与安全事件,但却被认为很可能会给目前的互联网金融监管之争火上浇油。之所以这么说,是因为现在确实流行一种看法,把某个支付事件的不安全,意会为整个支付方式乃至整个互联网金融的不安全。
但正确的逻辑不是这样的。仔细看这次携程网泄密门事件,其实是发生在信用卡支付过程中,这种信用卡支付方式是符合国际惯例的,也就是说全世界发达国家都在使用携程正在用的信用卡支付方式。而携程之所以出现问题,是因为它在技术上出了漏洞,更关键的是,在对待用户信息上,携程网操作不规范,它不但存储了CVV2码等按照国际惯例不该存储的信息,而且没有加密。
这说明什么呢?说明携程采用的支付方式在国际上是安全的,但是由于网站的行为不规范和疏忽,导致这种安全的支付方式也变得不安全;说明这世界上没有绝对安全的支付方式,泄密问题的关键不在于某种支付方式有原罪般的不安全缺陷,而在于操作者是否规范,相关的保障制度是否健全,不能因为个别互联网企业个案,来论证某种支付方式乃至互联网金融的不安全,按照这种逻辑,可被叫停的各种网上支付方式就太多了。
从表面上看,四大行分别调低快捷支付额度都是各自的商业行为,理由充分。但如果联想到此前央行公布的《支付机构网络支付业务管理办法》、《手机支付业务发展指导意见》(征求意见稿)等文件,以及央行对虚拟信用卡和二维码支付的叫停,就会发现事情没那么简单,传统金融正在向新兴的互联网金融业施加压力,以限制其蓬勃的发展,而全部的理由只有一个:安全问题。
安全与监管是金融业的题内应有之意,纵观互联网发展史乃至整个技术发展史,监管从来都是滞后于新技术、新商业模式创新的,从这个角度讲,在互联网金融业狂飙突进近一年后,把监管提上日程并不为过,但为什么企业界与外界舆论会对监管问题有非常大的反弹呢?关键还是动机和利益。
有业内专家指出:有关部门应多对具体问题定点打击,慎对整个行业全方位轰炸。安全隐患究竟是存在于支付方式中,还是存在于支付方式的执行过程中,具有本质的不同,治理手段也不同。携程事件中,出问题的是携程,而不是信用卡支付或CVV2(或CVC2)验证本身。
但携程安全漏洞事件看上去虽然只是一个偶然,却反映出互联网金融在经历快速发展之时,也到需要监管的时候了。
基于手机支付的互联网金融的安全问题与降低限额以及叫停二维码之类真有什么必然联系吗?从这次携程泄密门可以看出,泄密门虽然暴露了携程在安全管理上的缺陷,但归根结底,这只是携程网站的问题,是人和企业的疏忽,而不是制度上与技术上固有的问题,就像之前叫停的二维码支付方式有风险,但其实是二维码扫描过程中会遇到钓鱼、非法信息而导致,并非二维码支付方式本身有风险。如果以安全理由叫停二维码支付,现在携程网上信用卡支付也出现问题了,央行是否考虑也叫停信用卡的CVV支付方式呢?
所以,限制与叫停不应该是保障互联网金融安全的主要方式,监管部门更多的精力应该放在如何在信用支付使用中保障安全上。此外,还有诸如要求商家内部网络安装防火墙,监测重要数据的使用记录,等等重要措施来保护信用卡数据安全等等。
比如强制相关网站必须通过PCI-DSS安全认证这样国际性的在线交易数据安全标准,并定期核查。PCI-DSS安全认证的主要过程是由VISA和MasterCard授权的独立审查公司完成的一次彻底的在线支付系统安全审查,其中有近200项审查内容。其基本安全措施包括:不允许商家存储任何信用卡的三位或者四位确认码;不允许商家无必要地显示信用卡的所有位数;在实现网上交易时,传递信用卡的信息时必须使用加密;密码设置至少要有7位,必须有数字和字母;修改密码时不能提供和前四次相同的密码,试密码不能超过6次。
再比如,强制“宝宝军团”为用户购买保险,提供赔付服务。现在理财通以及余额宝都由保险公司全额承保。一旦发生资金被盗,都会由保险公司最终买单。
业内专家也建议不要动辄拿支付方式说安全,安全隐患究竟是存在于支付方式中,还是存在于支付方式的执行过程中,具有本质的不同,治理手段也应不同。至少在现阶段,对待互联网金融这类新生事物,手段上的安全保障与监管,比制度上的变动更为妥当,与其动辄否定暂停叫停某种支付方式,不如在手段上敦促和帮助其完善安全细节,当然,前者更省事,后者可能更劳神。
总之,携程漏洞门是个别互联网企业的行为不规范与疏忽,并不能因此证明互联网金融是不安全的,如果在平时,也很难影响到互联网金融业的发展进程。但现在正是传统金融业与阿里巴巴等互联网金融企业就监管问题激烈博弈期间,监管部门正要对第三方支付施加诸多限制,在这个关键时期爆出这样的事情,其后续影响就很难估测了。
携程有关人士接受记者采访时坦言,携程在技术调试过程中出现短时漏洞,经技术排查,漏洞已修复。携程致歉并承诺,未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。