致命的大数据泄密

有句墨西哥谚语说“别跑得太快了，你会把灵魂跑丢的”。 中国高速发展的互联网企业，不幸被这句谚语说中。 日前，国内在线旅游行业巨头携程旅行网陷入“泄密门”，携程用户信用卡信息面临泄露风险，引发数用户的恐慌。此后，更多的问题暴露出来(如携程还在用户不知情的情况下存储了用户信用卡的C V V码等)，让用户对安全漏洞忧心忡忡。 进入大数据时代，信息安全受到用户的高度重视。然而，这两三年以来，不断传出互联网企业信息泄露事故，特别是前年密集曝光的快递公司用户资料泄露事故，去年10月份的“酒店开房信息遭泄露”事件，以及这次的携程“泄密门”，泄露的信息越来越逼近用户的核心利益。 世界上没有完全可靠的安全防护措施，各种技术层面上的和管理层面上的安全漏洞，加上无孔不入的黑客入侵，使得信息安全如同高悬在用户头上的达摩克利斯之剑，随时都有落下来的可能，谁也不知道下一次更严重的泄露事故何时会发生…… 携程陷“泄密门” “各位注册过携程的，在携程用信用卡支付过的，赶紧关掉信用卡网上支付吧，出大事了……”3月22日晚间，这条微信被疯转，并快速引发连锁反应，汹涌的电话涌向农业银行、交通银行等携程合作银行，电话的主题只有一个：换卡或者解除捆绑。 这里所谓的“出大事”，就是有黑客曝光了携程的安全漏洞。3月22日傍晚18点18分，一个编号为54302的漏洞报告，被曝光在互联网安全问题反馈平台乌云(wooyun.org)之上，发布者是乌云的核心白帽子黑客“猪猪侠”。乌云平台这两年因多次发布知名互联网公司的安全漏洞，受到互联网公司信息技术部门和专业人士的高度重视。但是，对于绝大多数普通人来说，乌云平台完全是个陌生的词汇，乌云平台上发布的漏洞报告，也是与自己的生活八竿子也打不着。 然而，这次的漏洞报告却是个例外。 黑客“猪猪侠”在报告中指出，携程的一个漏洞会导致大量用户银行卡信息(包含持卡人姓名、身份证、银行卡号、卡C V V码、6位卡Bin)泄露，而这些信息可能直接引发盗刷等问题。携程有着数千万会员用户，而携程的漏洞可能导致信用卡盗刷，事关“钱袋子”，兹事体大！很快，各种版本的传言，借助微信、微博以几何倍增的速度传开，“换卡”一时间成为传播最为频繁的热词。 “晚上回到家，打开微信一看，朋友圈里炒翻了天，都是说携程泄露的事，都在提醒朋友们换卡。我在携程上也捆绑了几张信用卡，当时就慌了，马上致电几家银行要求解除与携程的捆绑。事关资金安全，宁可信其有，不可信其无。”家住广州番禺南国奥园的潘小姐告诉南都记者。 据了解，携程合作的银行包括工商银行、中国银行、招商银行、浦发银行等十余家，第三方支付机构包括支付宝、财付通、银联在线等。在22日当晚，与携程合作的上述银行客服电话几乎被打爆。 在漏洞报告挂出来两个小时后，携程方面做出回应称，这是在技术调试过程中出现了短时漏洞，携程在两小时内修复了这个漏洞。携程声明，除了漏洞发现人做了少量的测试下载并已全部删除外，没有出现恶意下载有关数据的情况。携程同时承诺，未来如果因安全漏洞引起用户损失，将承担全部责任并给予赔付，并强调“用户在携程的交易仍旧是安全的，用户的信息安全没有受到影响”。第二天，针对漏洞事件，携程再次发表声明，此次漏洞共涉及93名存在潜在风险的携程用户，客服已通知相关用户更换信用卡。 然而，携程的这份回应，并没有打消用户的顾虑。且随着更多信息的披露(包括携程用户曝光的被盗刷案例，技术专家的分析等)，携程更多的问题被曝光，特别是携程擅自保存用户信用卡C V V码(又叫用户识别码，是银行卡进行非面对面交易时用于确认用户身份的识别码，作用类似于密码)等信息，更是违反了中国人民银行颁发的《银行卡收单业务管理办法》。 此后，携程方面承认了非法存储C V V码一事。其补救措施是“我们将在交易完成后删除客户的CV V信息，不再保存。以前保存的那些CV V信息，正在予以删除”。另外，客户信用卡信息的传输和保存始终处于加密状态，任何未经授权的人员都无法取得这些资料。携程公关部相关负责人在接受南都记者采访时强调：“我们已建立了信用卡安全服务小组，将协助客户与银行沟通。未来如果因携程安全漏洞引起用户损失，携程将承担全部责任并给予赔付。” 携程漏洞的发现者“猪猪侠”在接受南都记者采访时，对携程的事都说不方便提，对携程漏洞的危害性大不大这个问题，更是直言“不回答”。不过，知道创宇的研究部总监余弦告诉南都记者，这次携程用户反应过度了，绝大多数人都是技术门外汉，对信用卡安全的担忧，造成了一种恐慌情绪。“乌云是在携程对漏洞及时修复后才发布漏洞报告的，并没有泄露信息，威胁没想的那么大”。 被称为“中国黑客教父”的龚蔚在接受南都记者采访时则强调，从乌云方面的说法看，是把携程这个漏洞的危害级别列为高级；从携程方面披露的情况看，影响的用户是93个，身份证号和姓名是明文，信用卡和C V V码是强加密。如果携程说的是真的话，这对一般黑客来说，破解是有难度的。 互联网公司“命门” “每一次数据泄密，都是黑客的一次狂欢。”在广州开了家小型工作室的黑客郑阳告诉南都记者。郑阳的工作室对外号称专注数据挖掘业务，其实主要业务就是为客户获取竞争对手的商业数据资料。“客户资料数据是很多企业梦寐以求的东西，互联网公司的客户数据，动辄千万级上亿级，拿到手就能到地下黑市换钱。” 携程“泄密门”，是近两三年来诸多互联网公司———包括那些深度融入互联网的传统公司，如连锁酒店、快递公司等———信息泄露事故的最新版本。在携程“泄密门”之前，影响较大的信息泄露事件，就包括去年10月份的“酒店开房信息遭泄露”事件，2012年年底发生的快递公司用户资料泄露事故，以及2011年底发生的中国互联网史上最大泄密事件：由国内最大的程序员社区C SD N上600万用户资料被公开拉开序幕，天涯社区、猫扑、开心网、多玩等多家知名互联网公司先后被爆客户注册信息库被泄密等。 在郑阳看来，大数据时代，才是黑客的“黄金时代”，而高速发展的互联网企业数据信息，则是黑客盘中的“美味佳肴”。“互联网公司发展太快，各种安全机制根本跟不上。特别是那些中小互联网公司，留下了大量的漏洞。”相对而言，大公司的信息安全配置相对较为靠谱，但老虎也有打盹的时候。“大公司一旦出现一些人为失误，产生安全漏洞，黑客们就会像秃鹫一样扑上去。当然，这一切常人都看不见。” 所幸的是，这次发现携程安全漏洞的是白帽子黑客，这些白帽子黑客一般都会在发现漏洞后立即向相关公司发出警报，在公司修补好漏洞之后再向公众公布。如果是被不怀好意的黑客发现了这个漏洞，那么，携程“泄密门”的影响，绝不是现在这个局面。因为从目前披露的信息来看，携程不但会保存客户的信用卡卡号，连背后的三位C V V码都会一并保存。后果自然是严重的：在境外，很多网站是不需要额外的密码，只需要获得这两样信息就能轻易地将信用卡里的钱划走。 互联网企业对信息安全投入的不足，给黑客狂欢创造了便利条件。 以广州某知名电商公司为例，该公司年销售规模近百亿人民币，但公司在信息安全上的投入明显不足，其负责信息安全的团队不足十人。“欧美互联网公司在信息安全方面的投入，往往占到IT总支出的8%～10%左右，而中国互联网公司在信息安全方面的投入只占到IT总投入的1%左右。相比而言，国内金融机构在信息安全上的投入往往会占到整体IT投入的10%以上。”在信息安全领域打拼了十余年的华夏创新科技有限公司副总裁卢德利告诉南都记者，“同样是数亿用户，金融机构有着严格的信息安全管理机制，很少出人为失误。但互联网公司则有很多的人为安全漏洞，在这方面互联网公司需要大补课。” 互联网企业之所以成为信息泄露的重灾区，在余弦看来，还有一个重要原因，就是以前线下的坑蒙拐骗都搬到了互联网上，利用互联网的各种漏洞进行违法犯罪活动。“互联网打破了空间和区域的限制，又大大缩短了时间成本，这就让骗子们的犯罪成本变得比以前低很多。而且现在互联网的监管力度都比较松散，法律法规也比较复杂，导致这样提供犯罪的机会就更多了。” 层出不穷的泄密 陈冠希“艳照门”已成往事，斯诺登泄密事件也只是老百姓茶余饭后的谈资。然而，这两三年不断发生的快递公司用户资料泄密、连锁酒店用户资料泄密、信用卡资料泄密，则与普通老百姓的生活密切相关，自然备受关注。 用户资料信息泄密的危害有多大？深圳的张雪女士(化名)谈到这个话题仍然心有余悸。张雪是个淘宝迷，接收快递是家常便饭。2011年国庆过后，有快递人员给张女士打电话，说有快递包裹送上门，让张女士收一下。当时张女士和丈夫都在上班，家里只有婆婆一个人。张女士就打电话给婆婆让婆婆开门签收。“开门后，一个自称是快递公司工作人员的人径直闯进房内，婆婆拼命想拦住也没用，只有大声呼叫。幸亏当时小区保安在附近巡逻，闻声赶来，才将那个人抓住。后来经警察审讯，才知道这个人背后有一个团伙，专门从快递公司购买用户资料，然后根据用户资料上的信息，要么欺骗用户骗取钱财，要么就趁用户家里人少干脆强行绑架抢夺。” 南都记者查询发现，这两年以来，国内多个地方都发生过假冒快递人员上门送货，实施抢劫、杀人、强奸等恶性犯罪的案件，信息泄露已经严重威胁到人们的生命财产安全。而连锁酒店“开房信息泄露”事件，则因为涉及到很多人的隐私问题，让很多人寝食难安。这次携程“泄密门”事件引发公众恐慌，则是因为公众担心自己捆绑的信用卡被盗刷。 乌云平台曝光携程的漏洞之后，很多携程用户在微信和微博上吐槽，讲述自己信用卡被盗刷的惨痛经历。新浪微博实名认证为“广西易搜科技有限公司C E O”的“严茂军”在微博上爆料称，早在2月25日，他绑定在携程的两张双币种信用卡就被人在境外盗刷了1万多元人民币，共84笔。“我办了6张信用卡，其中3张与携程绑定，另外3张没有绑定。出问题的交行信用卡和农行信用卡都是绑定的信用卡。看来携程的漏洞此前一直都存在，只不过这次被乌云曝光了而已。”严茂军告诉南都记者。 不过，独立电商分析师李成东在接受南都记者采访时却表示，不应该片面夸大携程“泄密门”对整个互联网行业的负面影响。“这次的漏洞仅限于支付领域，并且是携程自身的问题，不会引申到整个行业。携程自己已经在做危机公关了，竞争对手也不会煽风点火，毕竟蔓延开来对整个行业都不好。” 灰色产业链 数据泄露之所以可怕，是因为天上有黑客这只秃鹫在盘旋。黑客不会放过稍纵即逝的机会。 大数据时代，用户数据更是成为各大商家争夺的香饽饽。而获得用户数据最“便捷”的方式，无疑就是通过黑客入侵。当然，对于那些“主动”暴露出来的数据，自然是喜逢甘露，照单全收。 郑阳的黑客工作室，主要贩卖两类数据。一类就是网络上到处都在挂牌销售的所谓的“数据库大全”，包括车主资料、保险用户资料、信用卡用户资料、手机用户资料等等，这类数据需求量大，价格也便宜。广州、深圳、东莞等重点城市超过10 0万的车主资料，5万个资料起卖。以前一个资料收费要1元，现在5毛、3毛都卖。金山公司安全专家李铁军告诉南都记者，自互联网诞生之日起，互联网用户数据的交易就开始了。不少数据经过多次贩卖，其中相当一部分都已经成了无效数据。不过，这并不妨碍有客户继续花钱购买这些信息。 另一类数据，就是根据客户需求找到的“个性化数据资料”。“有些客户想获取竞争对手的用户资料，或者公司的商业机密，这就需要通过技术手段进入对方的数据库。大公司的网络安全会严格一些，入侵难度较大。中小公司的数据库在我眼里就是裸体。”郑阳告诉南都记者。郑阳表示，帮客户找“个性化数据资料”的费用，相对要贵很多，“一般搞定一家中型企业的数据库，会向客户收几万的费用，这要视客户的具体需求而定，几千块的也有。如果客户要得急，难度又较高，十多万的也有。” 华夏创新的卢德利告诉南都记者，数据泄露背后的产业链已经十分成熟，大家分工明确，有专门负责盗数据的，有负责贩卖的。“交易主要集中在论坛、社交网站、黑客网站，就像一个菜市场，明码标价，等着客户上门。” 南都记者在Q Q上查找“车主资料”群，仅广州地区就有7个相应的Q Q群。一位群主告诉记者，“我们有最新的广州车主资料，包括：车牌车主、初登日期、发动机号、车架号等等，资料绝对真实可靠，如果有意可以先发几个样品让你看看。”记者询问这些资料的来源，对方以“商业机密”为由拒绝透露。见记者问得多了，就给记者回了句“考虑清楚了再联系我”。 余弦告诉南都记者，地下数据交易异常活跃，主要是需求旺盛。“哪些人会需要这些数据，小的电商？不，任何一个公司都会想要这些数据，因为这些用户数据拿来了，通过用户属性分析是可以提高生产力和工作效率的，这就是现在大数据时代，每个公司对数据的大量需求，这种需求本身是好的，但如果靠盗取、买卖数据的话就属于偏门了。” 下一个火药桶 互联网公司一次又一次的数据泄露事故，不断敲打着广大网民脆弱的神经，不安全感就如同高悬在网民头上的达摩克利斯之剑，随时都有落下来的可能。而这次的携程“泄密门”，更是让网民切实体验到危险就在身边，恐慌在所难免。 在“中国黑客教父”龚蔚看来，这次携程“泄密门”事件之所以引发网民高度关注，最重要的原因，是因为涉及信用卡资金安全。随着互联网企业与金融业联系日益紧密，特别是这两年互联网金融大行其道，互联网公司的用户信息资料往往直接与用户的资金安全相连，使得网民对互联网公司的信息安全有着更高的要求。 相对于客户信息资料这些“间接资产”，客户支付宝、余额宝等等账户里的现金，对黑客而言诱惑力自然更大。这也是为什么钓鱼网站、短信欺诈长盛不衰的原因所在。互联网金融高速发展，但相关的安全防护却与传统金融机构不可同日而语。对于互联网金融来说，便捷和安全是博弈的两方，如何平衡是值得网络公司深思的问题。其实，包括支付宝、财付通在内的网上支付平台，都会推广绑定银行卡的快捷支付功能，这就埋下了巨大的安全隐患。因此，互联网金融很有可能成为下一个数据泄露的“火药桶”，而这个火药桶一旦被点燃，后果几乎不敢想象。 以阿里的余额宝为例，如今的余额宝开户数超过8000万户，规模已经接近5000亿元人民币。如果支付宝、余额宝这样的互联网金融产品出现安全问题，那将是致命的问题。“现在不少支付宝、余额宝账户里的现金都是几万几十万的，如果这些账户资料被第三方获取，那风险就太大了。”龚蔚表示，“整个状况还是令人担忧的。这次携程的“泄密门”引发了恐慌，影响很大。不过反过来这种大反应也是好的，对一些互联网安全，第三方支付的企业敲响了警钟，更督促企业在安全方面的投入会更重视。” 监管层显然也意识到问题的严重性。早在今年初举办的2014年中国互联网金融高层论坛上，中国银监会副主席郭利根就明确要求，互联网金融要牢牢守住信息安全底线，增强互联网金融的风险抵御能力，真正促进互联网金融行业健康发展。郭利根的话音刚落不久，携程就出事，加强互联网金融安全监管的呼声日高，互联网金融产业压力陡增。可以预见的是，未来互联网安全将会上升到一个前所未有的高度。

转载于:https://my.oschina.net/u/1160813/blog/215156