这个周末,对于曾经用信用卡在携程消费的用户们是个恐慌的周末。
3 月 22 日晚,国内知名漏洞报告平台乌云公布了一则关于携程的漏洞信息,大量用户银行卡信息可能泄漏令无数人恐慌。这中间携程的一些不规范做法,加上有可能会因此收紧的互联网金融监管,使得互联网金融的未来发展任重道远。
携程的不规范做法
携程安全漏洞并非偶然,的确是其出现了不规范或者不正确的做法。
首先,是携程技术人员的疏忽和不严谨。携程回应该安全漏洞时说,“这次安全漏洞泄露主要原因是携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。经各方证实,尚未发生大规模用户财务损失。”注意,这里面携程将责任推给了“技术开发人员的疏忽”。
其次,携程可能违反了银联规定,记录了用户的 CVC 码(即信用卡背面右下角的三位数字)。用户信用卡的 CVC 码被视为密码或签名。在一些消费场景下,如利用相关信息注册第三方支付帐号后,拥有这个验证码就可以等同用户使用信用卡后签字的过程,交易会被银行认可。
据技术专家接受媒体采访时说,还有一种可能是,携程并未故意存储 CVC 信息。但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞。所以出现这种问题。这一切都反映出携程的不规范做法。
携程安全漏洞将使互联网金融监管收紧
虽然携程事件从目前来说还未有用户受到真正的影响,那些用信用卡在携程消费过的用户也可能是杞人忧天,但这个事件将是互联网发展尤其是互联网金融发展的一个分水岭,短时间内将损害互联网金融的发展,可谓携程一个漏洞,让所有互联网公司遭殃。
最近对互联网金融的监管呼声越来越高,先是专家钮文新说余额宝是吸血鬼,会损害中国的金融体系,建议取缔余额宝。然后央行真的出招,叫停了二维码支付和虚拟信用卡。
其中,央行叫停二维码支付的文件中,将安全作为一个很重要的理由:
“线下条码(二维码)支付突破了传统受理终端的业务模式,其风险控制水平直接关系到客户的信息安全和资金安全。目前,将条码(二维码)应用于支付领域,有关技术,终端的安全标准尚不明确。相关支付撮合验证方式的安全性尚存质疑,存在一定得支付风险隐患。虚拟信用卡突破了现有信用卡业务模式,在落实客户身份识别义务、保障客户信息安全等方面尚待进一步研究。为维护支付体系稳定、保障客户合法权益,总行有关部门将对该类业务的合规性、安全性进行总体评估。”
现在携程出现这样的重大事件,可以说给了央行一个最好的收紧互联网金融监管的理由。坦白的说,与传统金融完备的安全体系相比,互联网金融公司在安全上确实具有不确定、不规范、待发展的地方,携程安全漏洞事件虽然只是一个偶然,但却反映出互联网金融在经历快速发展之时,也到了需要监管的时候。
长远来说,互联网金融的发展大势所趋,但规范化的监管也是必然,而携程事件将作为一个导火索,被历史所记住。