從攜程用戶信息“泄密門”透視電商行業信息安全
——中國電子商務研究中心評攜程“泄密門”
一、事件背景:
3月22日,國內網絡安全問題反饋平臺—烏云漏洞平臺發布消息稱,攜程系統存技術漏洞,可導致用戶個人信息、銀行卡信息等泄露;漏洞泄露信息包括用戶姓名、身份證號、銀行卡類別、銀行卡卡號、銀行卡CVV碼(卡號、有效期和服務約束代碼生成的3位或4位數字)等,上述信息可能被黑客讀取。
該漏洞發生在21日和22日,只是在22日晚間才被發現,因此這兩日在攜程網交易并使用信用卡支付的消費者可能會存在風險。
23日,攜程發布聲明稱,就攜程存漏洞一事,目前確認共93人賬戶存安全風險,并已通知相關用戶更換信用卡,并在其官方微博上表示,將給予這93名用戶每人500元任我行禮品卡作為補償。
攜程此舉被指避重就輕,引發用戶對互聯網站,尤其是電商交易網站信息安全的普遍關注與焦慮。
據中國電子商務研究中心了解,攜程發生信息泄露原因如下:
根本原因一:違反銀聯規定本地保存銀行卡信息。攜程用于處理用戶支付的安全支付服務器接口存在調試功能,將用戶支付的記錄用文本保存了下來。而根據《銀聯卡收單機構賬戶信息安全管理標準》中命令禁止本地保存銀行卡信息。
根本原因二:服務器安全配臵不嚴格。攜程用于保存支付日志的服務器未做校嚴格的基線安全配臵,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取。遍歷通常是指沿著某條搜索路線,依次對樹中每個結點均做一次且僅做一次訪問,遍歷漏洞可導致大量攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息外泄。
二、相關數據
據中國電子商務研究中心(100EC.CN)監測數據顯示,5億手機網民對軟件商搜集個人信息的風險渾然不知,65.5%的網站存在安全漏洞,2013年中國網民在網上損失近1500億元。
據中國電子商務研究中心(100EC.CN)監測數據顯示,74.1%的網民在過去半年時間內遇到過信息安全問題,總人數達4.38億,全國因信息安全事件而造成的個人經濟損失達到了196.3億元。因網上購物遇到過安全問題的網民達2010.6萬人,其中因網購遭遇個人信息泄露和賬號密碼被盜分別為42.9%、23.8%。電腦網絡支付時,資金被盜、被騙和賬號密碼被盜的比例達32.1%。
三、相關法律/法規
《網絡交易管理辦法》第十八條規定:網絡商品經營者、有關服務經營者在經營活動中收集、使用消費者或者經營者信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。網絡商品經營者、有關服務經營者收集、使用消費者或者經營者信息,應當公開其收集、使用規則,不得違反法律、法規的規定和雙方的約定收集、使用信息。
網絡商品經營者、有關服務經營者及其工作人員對收集的消費者個人信息或者經營者商業秘密的數據信息必須嚴格保密,不得泄露、出售或者非法向他人提供。網絡商品經營者、有關服務經營者應當采取技術措施和其他必要措施,確保信息安全,防止信息泄露、丟失。在發生或者可能發生信息泄露、丟失的情況時,應當立即采取補救措施。
2013年中國人民銀行發布的《銀行卡收單業務管理辦法》第二十八條:“收單機構不得以任何形式存儲銀行卡磁道信息或芯片信息、卡片驗證碼、卡片有效期、個人標識碼等敏感信息,并應采取有效措施防止特約商戶和外包服務機構存儲銀行卡敏感信息”
2008年中國銀聯風險管理委員會發布的《銀聯卡收單機構賬戶信息安全管理標準》命令禁止本地保存銀行卡信息:“各收單機構系統只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息,不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。”
《快遞市場管理辦法》規定:快遞企業、快遞從業人員不得違法泄露在從事快遞服務過程中知悉的用戶信息。違反該條款的,按《郵政法》相關條文予以處罰,即郵政企業、快遞企業違法提供用戶使用郵政服務或者快遞服務的信息,尚不構成犯罪的,由郵政管理部門責令改正,沒收違法所得,并處1萬元以上5萬元以下的罰款;對郵政企業直接負責的主管人員和其他直接責任人員給予處分;對快遞企業,郵政管理部門還可以責令停業整頓直至吊銷其快遞業務經營許可證。
四、專家觀點:
對此,中國電子商務研究中心特約研究員、浙江金道律師事務所張延來律師認為:
——非法收集用戶信息并導致泄密的或將面臨行政處罰!
從攜程對CVV碼的收集和保留是否滿足“合法性”原則的要求存在較大疑問;另外,從“必要性”原則的要求來看,收集和保留CVV碼算不算是攜程為用戶提供服務所“必要”,也存在一定爭議。因此,對于違法行為的確定性結論,最終要看是否有行政執法機關主動介入后的裁定或有受損用戶起訴后法院的判決。
法律要求網站收集和使用用戶信息應當遵循“合法、正當、必要”三原則,對收集到的用戶信息應當采取安全保護措施,一旦發生泄密,必須及時采取補救措施,否則都可能面臨行政處罰或者用戶的訴訟。
網絡支付安全與效率歷來是“魚和熊掌,不可兼得”,建議網絡用戶在進行電子支付時一定要遵循“安全第一”的原則,選擇安全措施較多的支付方式;小額支付如果考慮到快捷的需要應當盡可能在一些比較知名的網站上完成或選擇第三方支付工具。
對此,中國電子商務研究中心特約研究員、浙江澤大律師事務所付勇勇律師認為:
——因商家過失導致消費者經濟損失的理應賠償
根據《消費者權益保護法》的規定,經營者及其工作人員對收集的消費者個人信息必須嚴格保密,不得泄露、出售或者非法向他人提供。經營者應當采取技術措施和其他必要措施,確保信息安全,防止消費者個人信息泄露、丟失。
在發生或者可能發生信息泄露、丟失的情況時,應當立即采取補救措施。另外,《網絡交易管理辦法》也有相同的規定。如果由于攜程網的過失,導致消費者經濟損失的,理應承擔相應的賠償責任。
對此,中國電子商務研究中心特約研究員、浙江六和律師事務所合伙人王紅燕認為:
——攜程有不可推卸責任,還需承擔風險客戶換卡成本
保護用戶信息安全,攜程有不可推卸的義務和責任,應詳細公布漏洞產生的原因、時間,并提示用戶可能的風險,同時詳細說明為什么會出現這樣的問題。經過這些分析后,確定了用戶可能有的風險后,還應建議用戶如何規避或者降低風險以及風險發生后攜程能夠為這些用戶做些什么。除了對已經有損失的用戶承擔賠償責任,還需承擔風險客戶換卡成本。
對此,中國電子商務研究中心特約研究員、廣州金鵬律師事務所合伙人詹朝霞認為:
——違反銀聯規定承擔完全責任,監管部門應徹查
根據民法上的歸責原則,銀行卡用戶資料被泄密,攜程不僅應承擔完全責任,由于其違反了銀聯的規定,還應接受監管部門的處罰。監管部門應徹查攜程此次事件,并將所徹查情況公之于眾,同時應要求攜程在短時間內有一系列的有效誠懇的應對措施,以保障用戶信用卡的安全。
由此讓人深思的是,技術上,信用卡的安全能否有其他更高更隱秘的保護手段?監管部門能否強制約束商家禁止記錄用戶的CVV碼?一旦記錄將有非常嚴厲的制裁措施?
對此,中國電子商務研究中心特約研究員、遼寧亞太律師事務所董毅智律師認為:
——攜程泄密的后果可能比CSDN泄密事件的后果要嚴重
類似攜程的泄密事件絕非個例。后有攜程,前有CSDN。只不過CSDN被泄密的部分是歷史數據庫,不是金融數據;此次攜程泄密的是正在支付的數據,是用戶的銀行卡信息。所以,攜程泄密的后果可能比CSDN泄密事件的后果要嚴重。在CSDN事件之后,無論是用戶,還是網站平臺,對于用戶的個人信息安全問題,是互聯網發展的硬傷。如此嚴重的教訓后不過兩年光景,攜程在同一塊石頭上在次絆倒,典型的“天作孽,猶可恕,自作孽,不可活”。
——攜程事件,劍指泄密法律空白
按照《消法》的規定,消費者在消費中享有安全權。攜程明文保存用戶密碼信息的違規操作,違反銀聯規定,將用戶的安全置于危險之地,用戶的損失與攜程脫不了干系。
攜程泄密事件,在法律層面,帶給我們更多的是反思和警醒。關于用戶信息安全,相關法律是否完善?網絡安全中的刑事、行政、民事等各類法律關系能否界定?執法主體本身是否明確?用戶信息泄露的歸責怎樣?被泄密的用戶損失如何界定?相關主體是否提供了公平、安全的行為準則?相關行業是否形成了相應的行業標準?司法機關對于相關類型的新型犯罪和糾紛,是否有了最起碼的司法準繩?誰有責任向用戶普及最基本的網絡安全常識?諸如此類的疑問,已經成為現時亟待回答的問題,這也已經足夠給各個部門敲響維護用戶信息安全的警鐘。
對此,國內知名網購維權專家、中國電子商務研究中心法律與權益部姚建芳助理分析師認為:
——信息安全無小事,忽視必然付出慘重代價
針對廣大互聯網企業,包括網絡購物企業,網絡團購企業、網絡支付企業、虛擬商品交易企業都能夠重視用戶信息安全問題,加強相關的數據安全保護、技術監管以及內部管理。,防止任何形式的信息泄露。一旦出現信息安全問題,盡早補救,以防事態嚴重,一發不可收拾。同時,一旦有可能威脅用戶信息安全,應第一時間告知用戶,并且主動承擔責任,給以相應的賠償。
監管部門,加強對互聯網、電商、快遞行業的監管,細化個人信息保護相關法律法規,做到完善立法,嚴格執法。
——用戶增強信息保護意識,網絡支付需謹慎
1、對要求重新輸入賬號信息,否則將停掉信用卡賬號之類的郵件不予理睬。不要回復或者點擊郵件的鏈接。如果想核實電子郵件的信息,使用電話,而非鼠標;若想訪問某個公司的網站,使用瀏覽器直接訪問,而非點擊郵件中的鏈接。
2、留意網址。多數合法網站的網址相對較短,通常以.com或者.gov結尾,仿冒網站的地址通常較長,只是在其中包括合法的企業名字(甚至根本不包含)。
3、避免開啟來路不明的電子郵件及文件,安裝殺毒軟件并及時升級病毒知識庫和操作系統補丁,將敏感信息輸入隱私保護,打開個人防火墻。
4、使用網絡銀行時,選擇使用網絡憑證及約定賬戶方式進行轉賬交易,不要在網吧、公用計算機上和不明的地下網站做在線交易或轉賬。
5、不要在多個網站使用相同的注冊賬戶名以及登錄密碼,防止網絡黑客有意盜取,造成多個網站個人信息的連環失竊。
6、鑒于近來頻頻出現用戶網銀被盜等問題,建議最好有單獨銀行卡開通網銀供網絡消費使用,同時網銀盡量不要選擇工資卡等存款較多的銀行卡。
五、典型案件
根據中國電子商務投訴與維權公共服務平臺(www.100ec.cn/zt/315/ )近年來接到的用戶投訴以及對監測,盤點近年來電商行業內出現的用戶信息安全事件如下:
事件一:5173中國網絡服務網數次被“盜錢”。2010年1月20日,涉嫌盜竊罪的李豪被蘭溪市檢察院批準逮捕。經查,李豪前后一共盜取了100多個5173網站的賬號,共獲得贓款12萬余元人民幣。不法分子先在網上找尋有出售游戲幣和游戲裝備信息的5173網絡賬號,通過簡單交易獲知信息,再推算出網絡賬號密碼,從而實施網上盜竊。
事件二:當當網賬戶遭盜刷。2012年3月,當當網賬戶集體被盜,余額被用于購買電子產品、金銀首飾等大額商品。當年6月13日,網名為“我是那個向日葵”的微博用戶發布微博稱,其購進的10張面值500元"當當網禮品卡",被盜充。2014年3月,當當網113位用戶賬戶余額被盜用,損失金額超過6萬元。而當當網對于用戶賬戶被盜第一時間均是撇清關系,在輿論壓力下才給以補償。(詳見專題:www.100ec.cn/zt/ddw)
事件三:“1號店”員工內外勾結泄露客戶信息。2012年5月底,微博用戶挨踢客爆料1號店員工內外勾結泄露客戶信息,90萬的用戶信息竟被以500元的價格叫賣。部分消費者不久后就遇到了賬戶余額被盜、電話詐騙等問題。之后1號店凍結用戶賬戶。1號店副總裁劉彤回應:1號店在案發后已進行了內部檢查,對系統、流程、權限進行了清理、升級,以杜絕日后類似事件的發生。被消費者質疑“很沒有誠意”。直至2013年3月,仍有很多消費者稱1號店對那次信息泄露事件的處理很不到位,至今仍沒有得到應有的補償。(詳見專題:100ec.cn/zt/yhd )
事件四:支付寶漏洞致信息泄露,官方回應都是買家。2013年3月27日晚,網友曝支付寶出現重大漏洞,稱使用谷歌、360索則可以搜索出大量的支付寶交易記錄,包括付款賬戶、收款賬戶、姓名、日期,甚至郵箱和手機號等,并附帶上了Google搜索的截圖和多個詳情頁的截圖。該消息27日被大量轉發后,支付寶官方于27日晚23時53分在微博中做了回應,稱已做處理,這次有付款結果頁面被收錄可能是因為有極少量用戶主動將自己付款結果頁面分享到公共區域。該回應遭廣大網友質疑。(詳見專題:www.100ec.cn/zt/anl_2013zfb/ )
事件五:如家、七天開房信息泄密。2013年10月,如家、七天等連鎖酒店被網曝有多達2000萬條客戶開房信息遭泄露,只需輸入姓名或身份證號,即可查詢到包括身份證號、生日、地址、手機號、郵箱、公司、登記日期等真實信息。事發一周前,國內安全漏洞監測平臺烏云發布報告,稱多家酒店開房記錄被無線上網認證管理系統供應商——浙江慧達驛站網絡有限公司存儲,并因系統有漏洞而存在泄露隱患。(詳見中國電子商務研究中心后續專題:www.100ec.cn )
事件六:騰訊7000多萬QQ群遭泄露,全隱患危及微信支付。2013年11月20日,國內安全漏洞監測平臺烏云公布報告稱,騰訊QQ群關系數據被泄露,在迅雷快傳很輕易就能找到數據下載鏈接。根據QQ號,可以查詢到備注姓名、年齡、社交關系網甚至從業經歷等大量個人隱私。騰訊方面亦承認7000多萬QQ群遭泄露。對此,業界均擔憂泄露事件將直接牽連微信安全問題。“黑客一旦掌握了QQ號碼和銀行卡號,就能注冊微信并使用微信支付,盜取用戶資金幾乎是輕而易舉的事情。”
事件七:攜程技術漏洞導致用戶個人信息、銀行卡信息等泄露。早在2009年之前,攜程信息安全漏洞就已經多次被用戶質疑,但均未引起公司足夠重視。2014年1月攜程再次被媒體指出儲存信用卡敏感信息存在泄露風險,攜程網回應采用的信用卡支付方式符合國際慣例,對自身的信息安全問題再次選擇忽視。2014年3月22日下午18:18分,烏云漏洞平臺發布消息稱,攜程系統存技術漏洞,可導致用戶個人信息、銀行卡信息等泄露。漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼(即卡號、有效期和服務約束代碼生成的3位或4位數字)以及銀行卡6位Bin(用于支付的6位數字),上述信息有可能被黑客所讀取。
事件八、快遞單販賣稱灰色產業鏈。快遞單成為又一信息泄露途徑,“淘單114”、“淘單網”、“淘單8”、“單號網”等網站明碼標價出售快遞單號,0.5元就可買到一份快遞信息,快遞單號販賣儼然已經成為一條灰色產業鏈。而數量龐大的淘寶賣家成為快遞單號的重要來源之一,目前有近90%的淘寶賣家都在刷單,用真實的快遞單號“炮制”出逼真的虛假交易。
