信用卡數(shù)據(jù)泄露引發(fā)恐慌

一個銀行支付的安全漏洞，最終觸發(fā)了一場全民性的“安全”危機。

3月22日，頗具影響力的安全漏洞報告平臺烏云發(fā)布消息稱，攜程旅行網(wǎng)支付日志存在漏洞。攜程安全支付日志可遍歷下載，導致大量用戶銀行卡信息泄露，包括持卡人姓名身份證、銀行卡號、CVV碼、6位卡Bin（用于驗證支付信息的6位數(shù)字）等信息都有可能被任意駭客讀取。

所謂CVV安全碼即是信用卡背面簽名條后7位斜體數(shù)字的末三位，是進行網(wǎng)絡和電話交易時的安全特征。若信用卡無卡支付，用戶只需提供卡號及此三位驗證碼，就可完成支付。根據(jù)攜程和烏云公布的資料來看，如果黑客發(fā)現(xiàn)了漏洞，獲得支付日志，就可以利用獲得的卡號和CVV碼在網(wǎng)上購物了。除了盜刷之外，還可能利用這些信息創(chuàng)建第三方支付帳號，綁定信用卡實現(xiàn)境外購物。

雖然攜程表示已在事發(fā)2小時后修復漏洞，并表示僅僅涉及93名存在潛在風險的攜程用戶。截至目前，未發(fā)生攜程用戶信用卡被盜刷的情況。可是此事件觸發(fā)了大眾對信用卡網(wǎng)上支付安全的恐慌。

攜程網(wǎng)儲存這些信用卡信息的初衷是為了方便客戶交易。和多家在線旅游服務提供商一樣，“常用卡服務”的做法在業(yè)內(nèi)較為常見，即為用戶的該張信用卡如果是首次在某網(wǎng)站使用，在支付生效前需要客戶提供全部的信用卡授權所需信息。同時為了方便下次預訂，客戶可同意該網(wǎng)站保留其信用卡卡號和有效期等信息，在其下次預訂時只需提供所存信用卡的卡號后4位，該網(wǎng)站就可根據(jù)其當初保留在系統(tǒng)中的信用卡授權信息，執(zhí)行支付步驟。比如在進行艙位變更的時候，不需要每次更改信息都要求用戶重復輸入CVV碼，方便客戶交易?？墒沁@種存留信息的方式，必須要將信息進行絕對的保護，否則就是風險隱患所在。

攜程網(wǎng)暴露出的安全漏洞并非孤例。網(wǎng)絡正融入人們的日常生活，用戶包括身份、銀行卡等信息和互聯(lián)網(wǎng)應用綁定越來越緊密，而企業(yè)為了提高用戶操作和消費的便捷性，或者為了加快產(chǎn)品開發(fā)流程，往往忽略了互聯(lián)網(wǎng)應用的安全性。

去年12月，中國互聯(lián)網(wǎng)絡信息中心發(fā)布的《2013年中國網(wǎng)民信息安全狀況研究報告》顯示，我國網(wǎng)絡信息安全環(huán)境整體上不容樂觀，有74.1%的網(wǎng)民在此前半年，遇到過安全問題，影響總人數(shù)達到了4.38億。

層出不窮的網(wǎng)絡信息安全事件，不僅直接影響廣大網(wǎng)民的上網(wǎng)體驗，而且關系到互聯(lián)網(wǎng)金融行業(yè)的健康發(fā)展。這是一個亟待解決的重大網(wǎng)絡安全問題，此次攜程網(wǎng)事件理應成為一次“亡羊補牢”的契機，所有互聯(lián)網(wǎng)企業(yè)都應該借機排查安全隱患。否則，下一次就可能不只是虛驚一場了。

央行叫停虛擬信用卡

無獨有偶，與攜程信用卡數(shù)據(jù)泄露事件發(fā)生之前，央行剛剛叫停虛擬信用卡。央行官員對此的態(tài)度是，此次暫停相關業(yè)務是出于目前法律體系下風險防控的監(jiān)管要求。

3月初，阿里巴巴宣布推出一款新的信用卡，該“虛擬”信用卡將在“支付寶錢包”的應用內(nèi)亮相。阿里巴巴表示，該卡的實際運營方將是中信銀行，但申請人的信用可靠性將首次純粹基于消費者的在線購物記錄。

阿里巴巴宣布推出信用卡還不到24小時，騰訊表示也將通過微信推出自己的信用卡，最高信貸額度為5000元人民幣。騰訊新推信用卡的運營方也為中信銀行，但與阿里巴巴的信用卡不同的是，中信銀行將以傳統(tǒng)的信用審查方式對騰訊的信用卡進行發(fā)卡審批。

就在阿里巴巴和騰訊推出虛擬信用卡剛剛2天，中國央行暫時叫停了此類業(yè)務。

“所謂的虛擬信用卡，利用了互聯(lián)網(wǎng)技術、大數(shù)據(jù)等這些新的技術，使辦卡的流程大大簡化了，但是這種簡化和目前我們賬戶管理實名制以及反洗錢的一些有關要求是有明顯沖突的，為了防范這種法律風險，我們及時提出了監(jiān)管的意見?！敝袊嗣胥y行支付結算司副司長樊爽文接收記者采訪時表示。

中國人民銀行支付結算司于3月14日向杭州中心支行支付結算處緊急下發(fā)了《關于暫停支付寶公司線下條碼（二維碼）支付等業(yè)務意見的函》（下稱“《函》”），暫停了支付寶公司新近推出的線下條碼（二維碼）支付、虛擬信用卡兩項創(chuàng)新業(yè)務。

關于虛擬信用卡，《函》的原文是：“在落實客戶身份識別義務、保障客戶信息安全等方面尚待進一步研究?！痹诰€申請并一分鐘核卡是虛擬信用卡的最大賣點，而這一點卻直接違反現(xiàn)行法律規(guī)定。

《商業(yè)銀行信用卡業(yè)務監(jiān)督管理辦法》第四十三條規(guī)定：“對首次申請本行信用卡的客戶，不得采取全程系統(tǒng)自動發(fā)卡方式核發(fā)信用卡。”另外，信用卡發(fā)卡環(huán)節(jié)要做到親訪（電話也算親訪）親簽，“親簽是指發(fā)卡銀行柜面受理人員或營銷人員要親自見到申請人本人簽名”。

很顯然，全程通過網(wǎng)絡核發(fā)信用卡無法做到親簽。另外，根據(jù)有關規(guī)定，信用卡的發(fā)卡主體只能是商業(yè)銀行，支付寶公司只是與商業(yè)銀行開展合作，為其提供潛在客戶與交易流水數(shù)據(jù)，因此，《函》直接針對支付寶似乎并不合理，而“暫停商業(yè)銀行與支付寶公司等合作發(fā)行信用卡”的措辭更貼切些。

由于虛擬信用卡的細節(jié)并未詳細披露，僅從媒體和相關公司披露的信息來看，虛擬信用卡與傳統(tǒng)信用卡的變革之處主要在于兩點：首先，核發(fā)環(huán)節(jié)實現(xiàn)快速自動化，但卻違背現(xiàn)有法規(guī)；其次，覆蓋了原先達不到信用卡服務門檻的人群，最大限度體現(xiàn)了互聯(lián)網(wǎng)金融的核心價值。至于基于客戶歷史交易流水做出信用分析（大數(shù)據(jù)）、引入保險（放心保）、網(wǎng)上消費這些市場上炒作的所謂新功能，其實現(xiàn)有信用卡均已具備（或很容易具備），不是真正的創(chuàng)新點。

銀聯(lián)風險專家表示，支付寶條碼支付的本質就是借助二維碼等條碼技術將線下刷卡支付轉換為線上交易，將低風險交易轉為高風險交易。條碼支付設備與POS專用設備相比，缺乏起碼的交易信息技術保障，也未經(jīng)過任何專業(yè)的安全認證。支付過程中無法保障交易賬戶和訂單的安全性，無法體現(xiàn)真實交易場景的基本要求。從日常監(jiān)測來看，這類支付的風險問題日益嚴重，容易引發(fā)系統(tǒng)性風險，一旦風險發(fā)生，還無法追查。對于銀聯(lián)干預央行決策的傳聞，中國銀聯(lián)給予了明確否認。

互聯(lián)網(wǎng)金融監(jiān)管仍是大方向

雖然業(yè)內(nèi)種種分析認為，互聯(lián)網(wǎng)信用卡被叫停安全問題只是其中一小部分原因。但是從目前國內(nèi)互聯(lián)網(wǎng)金融的發(fā)展來看，安全問題確實需要重視。

中國支付清算協(xié)會副會長蔡洪波在出席中國支付體系發(fā)展高層論壇時就表示，對于目前被央行暫時叫停的虛擬信用卡和二維碼支付業(yè)務，“下一步要對其安全體系進行建立，然后達標，再來推廣這個應用，我覺得還是有可能這么做的。”

而央行方面也表示，此前被叫停的虛擬信用卡和二維碼支付將在第三方認證安全后放行。

業(yè)內(nèi)分析人士認為，從客戶支付安全的角度出發(fā)，央行的擔憂其實并非多余?？v觀國內(nèi)近兩年互聯(lián)網(wǎng)金融的發(fā)展，通過第三方支付和互聯(lián)網(wǎng)支付形式被詐騙財產(chǎn)的大有人在。

在今年年初，360手機安全專家就曾揭秘二維碼吸費的真相。用戶在搜二維碼的同時會在不知情的情況下安裝手機木馬從而造成財產(chǎn)損失。

而在本月，360發(fā)布的國內(nèi)首個移動支付安全報告中也提及，目前移動支付面臨著巨大的安全隱患。購物及支付類木馬往往會使用一些最新的攻擊技術和攻擊方法，防范難度較大。這些木馬還會偽裝成各種不同的應用，誘騙用戶下載安裝。與此同時，詐騙短信、手機丟失成為移動支付安全的嚴重威脅之一，二維碼木馬釣魚詐騙和電子密碼器升級詐騙等則是目前針對移動支付流行的典型網(wǎng)絡騙術。

縱觀國際金融支付領域的現(xiàn)狀，支付系統(tǒng)的安全風險是目前國際金融都需要解決的一大問題。尤其是在信用業(yè)務和支付系統(tǒng)上，由于涉及的主體多為普通人，不確定性很大，一旦出現(xiàn)漏洞將會對金融系統(tǒng)帶來巨大沖擊。

從目前來看，國內(nèi)對于互聯(lián)網(wǎng)金融的法規(guī)監(jiān)管相對缺失。業(yè)內(nèi)人士認為，應盡快完善互聯(lián)網(wǎng)金融監(jiān)管體系，推動建立互聯(lián)網(wǎng)金融消費者權益保護的法律制度框架。

（本刊記者綜合整理）endprint