從攜程用戶信息“泄密門”透視電商行業(yè)信息安全
——中國電子商務(wù)研究中心評攜程“泄密門”
一、事件背景:
3月22日,國內(nèi)網(wǎng)絡(luò)安全問題反饋平臺—烏云漏洞平臺發(fā)布消息稱,攜程系統(tǒng)存技術(shù)漏洞,可導(dǎo)致用戶個人信息、銀行卡信息等泄露;漏洞泄露信息包括用戶姓名、身份證號、銀行卡類別、銀行卡卡號、銀行卡CVV碼(卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)等,上述信息可能被黑客讀取。
該漏洞發(fā)生在21日和22日,只是在22日晚間才被發(fā)現(xiàn),因此這兩日在攜程網(wǎng)交易并使用信用卡支付的消費者可能會存在風(fēng)險。
23日,攜程發(fā)布聲明稱,就攜程存漏洞一事,目前確認共93人賬戶存安全風(fēng)險,并已通知相關(guān)用戶更換信用卡,并在其官方微博上表示,將給予這93名用戶每人500元任我行禮品卡作為補償。
攜程此舉被指避重就輕,引發(fā)用戶對互聯(lián)網(wǎng)站,尤其是電商交易網(wǎng)站信息安全的普遍關(guān)注與焦慮。
據(jù)中國電子商務(wù)研究中心了解,攜程發(fā)生信息泄露原因如下:
根本原因一:違反銀聯(lián)規(guī)定本地保存銀行卡信息。攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能,將用戶支付的記錄用文本保存了下來。而根據(jù)《銀聯(lián)卡收單機構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》中命令禁止本地保存銀行卡信息。
根本原因二:服務(wù)器安全配臵不嚴格。攜程用于保存支付日志的服務(wù)器未做校嚴格的基線安全配臵,存在目錄遍歷漏洞,導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取。遍歷通常是指沿著某條搜索路線,依次對樹中每個結(jié)點均做一次且僅做一次訪問,遍歷漏洞可導(dǎo)致大量攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息外泄。
二、相關(guān)數(shù)據(jù)
據(jù)中國電子商務(wù)研究中心(100EC.CN)監(jiān)測數(shù)據(jù)顯示,5億手機網(wǎng)民對軟件商搜集個人信息的風(fēng)險渾然不知,65.5%的網(wǎng)站存在安全漏洞,2013年中國網(wǎng)民在網(wǎng)上損失近1500億元。
據(jù)中國電子商務(wù)研究中心(100EC.CN)監(jiān)測數(shù)據(jù)顯示,74.1%的網(wǎng)民在過去半年時間內(nèi)遇到過信息安全問題,總?cè)藬?shù)達4.38億,全國因信息安全事件而造成的個人經(jīng)濟損失達到了196.3億元。因網(wǎng)上購物遇到過安全問題的網(wǎng)民達2010.6萬人,其中因網(wǎng)購遭遇個人信息泄露和賬號密碼被盜分別為42.9%、23.8%。電腦網(wǎng)絡(luò)支付時,資金被盜、被騙和賬號密碼被盜的比例達32.1%。
三、相關(guān)法律/法規(guī)
《網(wǎng)絡(luò)交易管理辦法》第十八條規(guī)定:網(wǎng)絡(luò)商品經(jīng)營者、有關(guān)服務(wù)經(jīng)營者在經(jīng)營活動中收集、使用消費者或者經(jīng)營者信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。網(wǎng)絡(luò)商品經(jīng)營者、有關(guān)服務(wù)經(jīng)營者收集、使用消費者或者經(jīng)營者信息,應(yīng)當(dāng)公開其收集、使用規(guī)則,不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。
網(wǎng)絡(luò)商品經(jīng)營者、有關(guān)服務(wù)經(jīng)營者及其工作人員對收集的消費者個人信息或者經(jīng)營者商業(yè)秘密的數(shù)據(jù)信息必須嚴格保密,不得泄露、出售或者非法向他人提供。網(wǎng)絡(luò)商品經(jīng)營者、有關(guān)服務(wù)經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保信息安全,防止信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時,應(yīng)當(dāng)立即采取補救措施。
2013年中國人民銀行發(fā)布的《銀行卡收單業(yè)務(wù)管理辦法》第二十八條:“收單機構(gòu)不得以任何形式存儲銀行卡磁道信息或芯片信息、卡片驗證碼、卡片有效期、個人標(biāo)識碼等敏感信息,并應(yīng)采取有效措施防止特約商戶和外包服務(wù)機構(gòu)存儲銀行卡敏感信息”
2008年中國銀聯(lián)風(fēng)險管理委員會發(fā)布的《銀聯(lián)卡收單機構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》命令禁止本地保存銀行卡信息:“各收單機構(gòu)系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息,不得存儲銀行卡磁道信息、卡片驗證碼、個人標(biāo)識代碼(PIN)及卡片有效期。”
《快遞市場管理辦法》規(guī)定:快遞企業(yè)、快遞從業(yè)人員不得違法泄露在從事快遞服務(wù)過程中知悉的用戶信息。違反該條款的,按《郵政法》相關(guān)條文予以處罰,即郵政企業(yè)、快遞企業(yè)違法提供用戶使用郵政服務(wù)或者快遞服務(wù)的信息,尚不構(gòu)成犯罪的,由郵政管理部門責(zé)令改正,沒收違法所得,并處1萬元以上5萬元以下的罰款;對郵政企業(yè)直接負責(zé)的主管人員和其他直接責(zé)任人員給予處分;對快遞企業(yè),郵政管理部門還可以責(zé)令停業(yè)整頓直至吊銷其快遞業(yè)務(wù)經(jīng)營許可證。
四、專家觀點:
對此,中國電子商務(wù)研究中心特約研究員、浙江金道律師事務(wù)所張延來律師認為:
——非法收集用戶信息并導(dǎo)致泄密的或?qū)⒚媾R行政處罰!
從攜程對CVV碼的收集和保留是否滿足“合法性”原則的要求存在較大疑問;另外,從“必要性”原則的要求來看,收集和保留CVV碼算不算是攜程為用戶提供服務(wù)所“必要”,也存在一定爭議。因此,對于違法行為的確定性結(jié)論,最終要看是否有行政執(zhí)法機關(guān)主動介入后的裁定或有受損用戶起訴后法院的判決。
法律要求網(wǎng)站收集和使用用戶信息應(yīng)當(dāng)遵循“合法、正當(dāng)、必要”三原則,對收集到的用戶信息應(yīng)當(dāng)采取安全保護措施,一旦發(fā)生泄密,必須及時采取補救措施,否則都可能面臨行政處罰或者用戶的訴訟。
網(wǎng)絡(luò)支付安全與效率歷來是“魚和熊掌,不可兼得”,建議網(wǎng)絡(luò)用戶在進行電子支付時一定要遵循“安全第一”的原則,選擇安全措施較多的支付方式;小額支付如果考慮到快捷的需要應(yīng)當(dāng)盡可能在一些比較知名的網(wǎng)站上完成或選擇第三方支付工具。
對此,中國電子商務(wù)研究中心特約研究員、浙江澤大律師事務(wù)所付勇勇律師認為:
——因商家過失導(dǎo)致消費者經(jīng)濟損失的理應(yīng)賠償
根據(jù)《消費者權(quán)益保護法》的規(guī)定,經(jīng)營者及其工作人員對收集的消費者個人信息必須嚴格保密,不得泄露、出售或者非法向他人提供。經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保信息安全,防止消費者個人信息泄露、丟失。
在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時,應(yīng)當(dāng)立即采取補救措施。另外,《網(wǎng)絡(luò)交易管理辦法》也有相同的規(guī)定。如果由于攜程網(wǎng)的過失,導(dǎo)致消費者經(jīng)濟損失的,理應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任。
對此,中國電子商務(wù)研究中心特約研究員、浙江六和律師事務(wù)所合伙人王紅燕認為:
——攜程有不可推卸責(zé)任,還需承擔(dān)風(fēng)險客戶換卡成本
保護用戶信息安全,攜程有不可推卸的義務(wù)和責(zé)任,應(yīng)詳細公布漏洞產(chǎn)生的原因、時間,并提示用戶可能的風(fēng)險,同時詳細說明為什么會出現(xiàn)這樣的問題。經(jīng)過這些分析后,確定了用戶可能有的風(fēng)險后,還應(yīng)建議用戶如何規(guī)避或者降低風(fēng)險以及風(fēng)險發(fā)生后攜程能夠為這些用戶做些什么。除了對已經(jīng)有損失的用戶承擔(dān)賠償責(zé)任,還需承擔(dān)風(fēng)險客戶換卡成本。
對此,中國電子商務(wù)研究中心特約研究員、廣州金鵬律師事務(wù)所合伙人詹朝霞認為:
——違反銀聯(lián)規(guī)定承擔(dān)完全責(zé)任,監(jiān)管部門應(yīng)徹查
根據(jù)民法上的歸責(zé)原則,銀行卡用戶資料被泄密,攜程不僅應(yīng)承擔(dān)完全責(zé)任,由于其違反了銀聯(lián)的規(guī)定,還應(yīng)接受監(jiān)管部門的處罰。監(jiān)管部門應(yīng)徹查攜程此次事件,并將所徹查情況公之于眾,同時應(yīng)要求攜程在短時間內(nèi)有一系列的有效誠懇的應(yīng)對措施,以保障用戶信用卡的安全。
由此讓人深思的是,技術(shù)上,信用卡的安全能否有其他更高更隱秘的保護手段?監(jiān)管部門能否強制約束商家禁止記錄用戶的CVV碼?一旦記錄將有非常嚴厲的制裁措施?
對此,中國電子商務(wù)研究中心特約研究員、遼寧亞太律師事務(wù)所董毅智律師認為:
——攜程泄密的后果可能比CSDN泄密事件的后果要嚴重
類似攜程的泄密事件絕非個例。后有攜程,前有CSDN。只不過CSDN被泄密的部分是歷史數(shù)據(jù)庫,不是金融數(shù)據(jù);此次攜程泄密的是正在支付的數(shù)據(jù),是用戶的銀行卡信息。所以,攜程泄密的后果可能比CSDN泄密事件的后果要嚴重。在CSDN事件之后,無論是用戶,還是網(wǎng)站平臺,對于用戶的個人信息安全問題,是互聯(lián)網(wǎng)發(fā)展的硬傷。如此嚴重的教訓(xùn)后不過兩年光景,攜程在同一塊石頭上在次絆倒,典型的“天作孽,猶可恕,自作孽,不可活”。
——攜程事件,劍指泄密法律空白
按照《消法》的規(guī)定,消費者在消費中享有安全權(quán)。攜程明文保存用戶密碼信息的違規(guī)操作,違反銀聯(lián)規(guī)定,將用戶的安全置于危險之地,用戶的損失與攜程脫不了干系。
攜程泄密事件,在法律層面,帶給我們更多的是反思和警醒。關(guān)于用戶信息安全,相關(guān)法律是否完善?網(wǎng)絡(luò)安全中的刑事、行政、民事等各類法律關(guān)系能否界定?執(zhí)法主體本身是否明確?用戶信息泄露的歸責(zé)怎樣?被泄密的用戶損失如何界定?相關(guān)主體是否提供了公平、安全的行為準(zhǔn)則?相關(guān)行業(yè)是否形成了相應(yīng)的行業(yè)標(biāo)準(zhǔn)?司法機關(guān)對于相關(guān)類型的新型犯罪和糾紛,是否有了最起碼的司法準(zhǔn)繩?誰有責(zé)任向用戶普及最基本的網(wǎng)絡(luò)安全常識?諸如此類的疑問,已經(jīng)成為現(xiàn)時亟待回答的問題,這也已經(jīng)足夠給各個部門敲響維護用戶信息安全的警鐘。
對此,國內(nèi)知名網(wǎng)購維權(quán)專家、中國電子商務(wù)研究中心法律與權(quán)益部姚建芳助理分析師認為:
——信息安全無小事,忽視必然付出慘重代價
針對廣大互聯(lián)網(wǎng)企業(yè),包括網(wǎng)絡(luò)購物企業(yè),網(wǎng)絡(luò)團購企業(yè)、網(wǎng)絡(luò)支付企業(yè)、虛擬商品交易企業(yè)都能夠重視用戶信息安全問題,加強相關(guān)的數(shù)據(jù)安全保護、技術(shù)監(jiān)管以及內(nèi)部管理。,防止任何形式的信息泄露。一旦出現(xiàn)信息安全問題,盡早補救,以防事態(tài)嚴重,一發(fā)不可收拾。同時,一旦有可能威脅用戶信息安全,應(yīng)第一時間告知用戶,并且主動承擔(dān)責(zé)任,給以相應(yīng)的賠償。
監(jiān)管部門,加強對互聯(lián)網(wǎng)、電商、快遞行業(yè)的監(jiān)管,細化個人信息保護相關(guān)法律法規(guī),做到完善立法,嚴格執(zhí)法。
——用戶增強信息保護意識,網(wǎng)絡(luò)支付需謹慎
1、對要求重新輸入賬號信息,否則將停掉信用卡賬號之類的郵件不予理睬。不要回復(fù)或者點擊郵件的鏈接。如果想核實電子郵件的信息,使用電話,而非鼠標(biāo);若想訪問某個公司的網(wǎng)站,使用瀏覽器直接訪問,而非點擊郵件中的鏈接。
2、留意網(wǎng)址。多數(shù)合法網(wǎng)站的網(wǎng)址相對較短,通常以.com或者.gov結(jié)尾,仿冒網(wǎng)站的地址通常較長,只是在其中包括合法的企業(yè)名字(甚至根本不包含)。
3、避免開啟來路不明的電子郵件及文件,安裝殺毒軟件并及時升級病毒知識庫和操作系統(tǒng)補丁,將敏感信息輸入隱私保護,打開個人防火墻。
4、使用網(wǎng)絡(luò)銀行時,選擇使用網(wǎng)絡(luò)憑證及約定賬戶方式進行轉(zhuǎn)賬交易,不要在網(wǎng)吧、公用計算機上和不明的地下網(wǎng)站做在線交易或轉(zhuǎn)賬。
5、不要在多個網(wǎng)站使用相同的注冊賬戶名以及登錄密碼,防止網(wǎng)絡(luò)黑客有意盜取,造成多個網(wǎng)站個人信息的連環(huán)失竊。
6、鑒于近來頻頻出現(xiàn)用戶網(wǎng)銀被盜等問題,建議最好有單獨銀行卡開通網(wǎng)銀供網(wǎng)絡(luò)消費使用,同時網(wǎng)銀盡量不要選擇工資卡等存款較多的銀行卡。
五、典型案件
根據(jù)中國電子商務(wù)投訴與維權(quán)公共服務(wù)平臺(www.100ec.cn/zt/315/ )近年來接到的用戶投訴以及對監(jiān)測,盤點近年來電商行業(yè)內(nèi)出現(xiàn)的用戶信息安全事件如下:
事件一:5173中國網(wǎng)絡(luò)服務(wù)網(wǎng)數(shù)次被“盜錢”。2010年1月20日,涉嫌盜竊罪的李豪被蘭溪市檢察院批準(zhǔn)逮捕。經(jīng)查,李豪前后一共盜取了100多個5173網(wǎng)站的賬號,共獲得贓款12萬余元人民幣。不法分子先在網(wǎng)上找尋有出售游戲幣和游戲裝備信息的5173網(wǎng)絡(luò)賬號,通過簡單交易獲知信息,再推算出網(wǎng)絡(luò)賬號密碼,從而實施網(wǎng)上盜竊。
事件二:當(dāng)當(dāng)網(wǎng)賬戶遭盜刷。2012年3月,當(dāng)當(dāng)網(wǎng)賬戶集體被盜,余額被用于購買電子產(chǎn)品、金銀首飾等大額商品。當(dāng)年6月13日,網(wǎng)名為“我是那個向日葵”的微博用戶發(fā)布微博稱,其購進的10張面值500元"當(dāng)當(dāng)網(wǎng)禮品卡",被盜充。2014年3月,當(dāng)當(dāng)網(wǎng)113位用戶賬戶余額被盜用,損失金額超過6萬元。而當(dāng)當(dāng)網(wǎng)對于用戶賬戶被盜第一時間均是撇清關(guān)系,在輿論壓力下才給以補償。(詳見專題:www.100ec.cn/zt/ddw)
事件三:“1號店”員工內(nèi)外勾結(jié)泄露客戶信息。2012年5月底,微博用戶挨踢客爆料1號店員工內(nèi)外勾結(jié)泄露客戶信息,90萬的用戶信息竟被以500元的價格叫賣。部分消費者不久后就遇到了賬戶余額被盜、電話詐騙等問題。之后1號店凍結(jié)用戶賬戶。1號店副總裁劉彤回應(yīng):1號店在案發(fā)后已進行了內(nèi)部檢查,對系統(tǒng)、流程、權(quán)限進行了清理、升級,以杜絕日后類似事件的發(fā)生。被消費者質(zhì)疑“很沒有誠意”。直至2013年3月,仍有很多消費者稱1號店對那次信息泄露事件的處理很不到位,至今仍沒有得到應(yīng)有的補償。(詳見專題:100ec.cn/zt/yhd )
事件四:支付寶漏洞致信息泄露,官方回應(yīng)都是買家。2013年3月27日晚,網(wǎng)友曝支付寶出現(xiàn)重大漏洞,稱使用谷歌、360索則可以搜索出大量的支付寶交易記錄,包括付款賬戶、收款賬戶、姓名、日期,甚至郵箱和手機號等,并附帶上了Google搜索的截圖和多個詳情頁的截圖。該消息27日被大量轉(zhuǎn)發(fā)后,支付寶官方于27日晚23時53分在微博中做了回應(yīng),稱已做處理,這次有付款結(jié)果頁面被收錄可能是因為有極少量用戶主動將自己付款結(jié)果頁面分享到公共區(qū)域。該回應(yīng)遭廣大網(wǎng)友質(zhì)疑。(詳見專題:www.100ec.cn/zt/anl_2013zfb/ )
事件五:如家、七天開房信息泄密。2013年10月,如家、七天等連鎖酒店被網(wǎng)曝有多達2000萬條客戶開房信息遭泄露,只需輸入姓名或身份證號,即可查詢到包括身份證號、生日、地址、手機號、郵箱、公司、登記日期等真實信息。事發(fā)一周前,國內(nèi)安全漏洞監(jiān)測平臺烏云發(fā)布報告,稱多家酒店開房記錄被無線上網(wǎng)認證管理系統(tǒng)供應(yīng)商——浙江慧達驛站網(wǎng)絡(luò)有限公司存儲,并因系統(tǒng)有漏洞而存在泄露隱患。(詳見中國電子商務(wù)研究中心后續(xù)專題:www.100ec.cn )
事件六:騰訊7000多萬QQ群遭泄露,全隱患危及微信支付。2013年11月20日,國內(nèi)安全漏洞監(jiān)測平臺烏云公布報告稱,騰訊QQ群關(guān)系數(shù)據(jù)被泄露,在迅雷快傳很輕易就能找到數(shù)據(jù)下載鏈接。根據(jù)QQ號,可以查詢到備注姓名、年齡、社交關(guān)系網(wǎng)甚至從業(yè)經(jīng)歷等大量個人隱私。騰訊方面亦承認7000多萬QQ群遭泄露。對此,業(yè)界均擔(dān)憂泄露事件將直接牽連微信安全問題。“黑客一旦掌握了QQ號碼和銀行卡號,就能注冊微信并使用微信支付,盜取用戶資金幾乎是輕而易舉的事情。”
事件七:攜程技術(shù)漏洞導(dǎo)致用戶個人信息、銀行卡信息等泄露。早在2009年之前,攜程信息安全漏洞就已經(jīng)多次被用戶質(zhì)疑,但均未引起公司足夠重視。2014年1月攜程再次被媒體指出儲存信用卡敏感信息存在泄露風(fēng)險,攜程網(wǎng)回應(yīng)采用的信用卡支付方式符合國際慣例,對自身的信息安全問題再次選擇忽視。2014年3月22日下午18:18分,烏云漏洞平臺發(fā)布消息稱,攜程系統(tǒng)存技術(shù)漏洞,可導(dǎo)致用戶個人信息、銀行卡信息等泄露。漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼(即卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)以及銀行卡6位Bin(用于支付的6位數(shù)字),上述信息有可能被黑客所讀取。
事件八、快遞單販賣稱灰色產(chǎn)業(yè)鏈。快遞單成為又一信息泄露途徑,“淘單114”、“淘單網(wǎng)”、“淘單8”、“單號網(wǎng)”等網(wǎng)站明碼標(biāo)價出售快遞單號,0.5元就可買到一份快遞信息,快遞單號販賣儼然已經(jīng)成為一條灰色產(chǎn)業(yè)鏈。而數(shù)量龐大的淘寶賣家成為快遞單號的重要來源之一,目前有近90%的淘寶賣家都在刷單,用真實的快遞單號“炮制”出逼真的虛假交易。
