信用卡數(shù)據(jù)泄露引發(fā)恐慌

一個(gè)銀行支付的安全漏洞，最終觸發(fā)了一場(chǎng)全民性的“安全”危機(jī)。

3月22日，頗具影響力的安全漏洞報(bào)告平臺(tái)烏云發(fā)布消息稱，攜程旅行網(wǎng)支付日志存在漏洞。攜程安全支付日志可遍歷下載，導(dǎo)致大量用戶銀行卡信息泄露，包括持卡人姓名身份證、銀行卡號(hào)、CVV碼、6位卡Bin（用于驗(yàn)證支付信息的6位數(shù)字）等信息都有可能被任意駭客讀取。

所謂CVV安全碼即是信用卡背面簽名條后7位斜體數(shù)字的末三位，是進(jìn)行網(wǎng)絡(luò)和電話交易時(shí)的安全特征。若信用卡無(wú)卡支付，用戶只需提供卡號(hào)及此三位驗(yàn)證碼，就可完成支付。根據(jù)攜程和烏云公布的資料來(lái)看，如果黑客發(fā)現(xiàn)了漏洞，獲得支付日志，就可以利用獲得的卡號(hào)和CVV碼在網(wǎng)上購(gòu)物了。除了盜刷之外，還可能利用這些信息創(chuàng)建第三方支付帳號(hào)，綁定信用卡實(shí)現(xiàn)境外購(gòu)物。

雖然攜程表示已在事發(fā)2小時(shí)后修復(fù)漏洞，并表示僅僅涉及93名存在潛在風(fēng)險(xiǎn)的攜程用戶。截至目前，未發(fā)生攜程用戶信用卡被盜刷的情況?？墒谴耸录|發(fā)了大眾對(duì)信用卡網(wǎng)上支付安全的恐慌。

攜程網(wǎng)儲(chǔ)存這些信用卡信息的初衷是為了方便客戶交易。和多家在線旅游服務(wù)提供商一樣，“常用卡服務(wù)”的做法在業(yè)內(nèi)較為常見，即為用戶的該張信用卡如果是首次在某網(wǎng)站使用，在支付生效前需要客戶提供全部的信用卡授權(quán)所需信息。同時(shí)為了方便下次預(yù)訂，客戶可同意該網(wǎng)站保留其信用卡卡號(hào)和有效期等信息，在其下次預(yù)訂時(shí)只需提供所存信用卡的卡號(hào)后4位，該網(wǎng)站就可根據(jù)其當(dāng)初保留在系統(tǒng)中的信用卡授權(quán)信息，執(zhí)行支付步驟。比如在進(jìn)行艙位變更的時(shí)候，不需要每次更改信息都要求用戶重復(fù)輸入CVV碼，方便客戶交易。可是這種存留信息的方式，必須要將信息進(jìn)行絕對(duì)的保護(hù)，否則就是風(fēng)險(xiǎn)隱患所在。

攜程網(wǎng)暴露出的安全漏洞并非孤例。網(wǎng)絡(luò)正融入人們的日常生活，用戶包括身份、銀行卡等信息和互聯(lián)網(wǎng)應(yīng)用綁定越來(lái)越緊密，而企業(yè)為了提高用戶操作和消費(fèi)的便捷性，或者為了加快產(chǎn)品開發(fā)流程，往往忽略了互聯(lián)網(wǎng)應(yīng)用的安全性。

去年12月，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《2013年中國(guó)網(wǎng)民信息安全狀況研究報(bào)告》顯示，我國(guó)網(wǎng)絡(luò)信息安全環(huán)境整體上不容樂(lè)觀，有74.1%的網(wǎng)民在此前半年，遇到過(guò)安全問(wèn)題，影響總?cè)藬?shù)達(dá)到了4.38億。

層出不窮的網(wǎng)絡(luò)信息安全事件，不僅直接影響廣大網(wǎng)民的上網(wǎng)體驗(yàn)，而且關(guān)系到互聯(lián)網(wǎng)金融行業(yè)的健康發(fā)展。這是一個(gè)亟待解決的重大網(wǎng)絡(luò)安全問(wèn)題，此次攜程網(wǎng)事件理應(yīng)成為一次“亡羊補(bǔ)牢”的契機(jī)，所有互聯(lián)網(wǎng)企業(yè)都應(yīng)該借機(jī)排查安全隱患。否則，下一次就可能不只是虛驚一場(chǎng)了。

央行叫停虛擬信用卡

無(wú)獨(dú)有偶，與攜程信用卡數(shù)據(jù)泄露事件發(fā)生之前，央行剛剛叫停虛擬信用卡。央行官員對(duì)此的態(tài)度是，此次暫停相關(guān)業(yè)務(wù)是出于目前法律體系下風(fēng)險(xiǎn)防控的監(jiān)管要求。

3月初，阿里巴巴宣布推出一款新的信用卡，該“虛擬”信用卡將在“支付寶錢包”的應(yīng)用內(nèi)亮相。阿里巴巴表示，該卡的實(shí)際運(yùn)營(yíng)方將是中信銀行，但申請(qǐng)人的信用可靠性將首次純粹基于消費(fèi)者的在線購(gòu)物記錄。

阿里巴巴宣布推出信用卡還不到24小時(shí)，騰訊表示也將通過(guò)微信推出自己的信用卡，最高信貸額度為5000元人民幣。騰訊新推信用卡的運(yùn)營(yíng)方也為中信銀行，但與阿里巴巴的信用卡不同的是，中信銀行將以傳統(tǒng)的信用審查方式對(duì)騰訊的信用卡進(jìn)行發(fā)卡審批。

就在阿里巴巴和騰訊推出虛擬信用卡剛剛2天，中國(guó)央行暫時(shí)叫停了此類業(yè)務(wù)。

“所謂的虛擬信用卡，利用了互聯(lián)網(wǎng)技術(shù)、大數(shù)據(jù)等這些新的技術(shù)，使辦卡的流程大大簡(jiǎn)化了，但是這種簡(jiǎn)化和目前我們賬戶管理實(shí)名制以及反洗錢的一些有關(guān)要求是有明顯沖突的，為了防范這種法律風(fēng)險(xiǎn)，我們及時(shí)提出了監(jiān)管的意見?！敝袊?guó)人民銀行支付結(jié)算司副司長(zhǎng)樊爽文接收記者采訪時(shí)表示。

中國(guó)人民銀行支付結(jié)算司于3月14日向杭州中心支行支付結(jié)算處緊急下發(fā)了《關(guān)于暫停支付寶公司線下條碼（二維碼）支付等業(yè)務(wù)意見的函》（下稱“《函》”），暫停了支付寶公司新近推出的線下條碼（二維碼）支付、虛擬信用卡兩項(xiàng)創(chuàng)新業(yè)務(wù)。

關(guān)于虛擬信用卡，《函》的原文是：“在落實(shí)客戶身份識(shí)別義務(wù)、保障客戶信息安全等方面尚待進(jìn)一步研究?！痹诰€申請(qǐng)并一分鐘核卡是虛擬信用卡的最大賣點(diǎn)，而這一點(diǎn)卻直接違反現(xiàn)行法律規(guī)定。

《商業(yè)銀行信用卡業(yè)務(wù)監(jiān)督管理辦法》第四十三條規(guī)定：“對(duì)首次申請(qǐng)本行信用卡的客戶，不得采取全程系統(tǒng)自動(dòng)發(fā)卡方式核發(fā)信用卡。”另外，信用卡發(fā)卡環(huán)節(jié)要做到親訪（電話也算親訪）親簽，“親簽是指發(fā)卡銀行柜面受理人員或營(yíng)銷人員要親自見到申請(qǐng)人本人簽名”。

很顯然，全程通過(guò)網(wǎng)絡(luò)核發(fā)信用卡無(wú)法做到親簽。另外，根據(jù)有關(guān)規(guī)定，信用卡的發(fā)卡主體只能是商業(yè)銀行，支付寶公司只是與商業(yè)銀行開展合作，為其提供潛在客戶與交易流水?dāng)?shù)據(jù)，因此，《函》直接針對(duì)支付寶似乎并不合理，而“暫停商業(yè)銀行與支付寶公司等合作發(fā)行信用卡”的措辭更貼切些。

由于虛擬信用卡的細(xì)節(jié)并未詳細(xì)披露，僅從媒體和相關(guān)公司披露的信息來(lái)看，虛擬信用卡與傳統(tǒng)信用卡的變革之處主要在于兩點(diǎn)：首先，核發(fā)環(huán)節(jié)實(shí)現(xiàn)快速自動(dòng)化，但卻違背現(xiàn)有法規(guī)；其次，覆蓋了原先達(dá)不到信用卡服務(wù)門檻的人群，最大限度體現(xiàn)了互聯(lián)網(wǎng)金融的核心價(jià)值。至于基于客戶歷史交易流水做出信用分析（大數(shù)據(jù)）、引入保險(xiǎn)（放心保）、網(wǎng)上消費(fèi)這些市場(chǎng)上炒作的所謂新功能，其實(shí)現(xiàn)有信用卡均已具備（或很容易具備），不是真正的創(chuàng)新點(diǎn)。

銀聯(lián)風(fēng)險(xiǎn)專家表示，支付寶條碼支付的本質(zhì)就是借助二維碼等條碼技術(shù)將線下刷卡支付轉(zhuǎn)換為線上交易，將低風(fēng)險(xiǎn)交易轉(zhuǎn)為高風(fēng)險(xiǎn)交易。條碼支付設(shè)備與POS專用設(shè)備相比，缺乏起碼的交易信息技術(shù)保障，也未經(jīng)過(guò)任何專業(yè)的安全認(rèn)證。支付過(guò)程中無(wú)法保障交易賬戶和訂單的安全性，無(wú)法體現(xiàn)真實(shí)交易場(chǎng)景的基本要求。從日常監(jiān)測(cè)來(lái)看，這類支付的風(fēng)險(xiǎn)問(wèn)題日益嚴(yán)重，容易引發(fā)系統(tǒng)性風(fēng)險(xiǎn)，一旦風(fēng)險(xiǎn)發(fā)生，還無(wú)法追查。對(duì)于銀聯(lián)干預(yù)央行決策的傳聞，中國(guó)銀聯(lián)給予了明確否認(rèn)。

互聯(lián)網(wǎng)金融監(jiān)管仍是大方向

雖然業(yè)內(nèi)種種分析認(rèn)為，互聯(lián)網(wǎng)信用卡被叫停安全問(wèn)題只是其中一小部分原因。但是從目前國(guó)內(nèi)互聯(lián)網(wǎng)金融的發(fā)展來(lái)看，安全問(wèn)題確實(shí)需要重視。

中國(guó)支付清算協(xié)會(huì)副會(huì)長(zhǎng)蔡洪波在出席中國(guó)支付體系發(fā)展高層論壇時(shí)就表示，對(duì)于目前被央行暫時(shí)叫停的虛擬信用卡和二維碼支付業(yè)務(wù)，“下一步要對(duì)其安全體系進(jìn)行建立，然后達(dá)標(biāo)，再來(lái)推廣這個(gè)應(yīng)用，我覺(jué)得還是有可能這么做的?！?/p>

而央行方面也表示，此前被叫停的虛擬信用卡和二維碼支付將在第三方認(rèn)證安全后放行。

業(yè)內(nèi)分析人士認(rèn)為，從客戶支付安全的角度出發(fā)，央行的擔(dān)憂其實(shí)并非多余。縱觀國(guó)內(nèi)近兩年互聯(lián)網(wǎng)金融的發(fā)展，通過(guò)第三方支付和互聯(lián)網(wǎng)支付形式被詐騙財(cái)產(chǎn)的大有人在。

在今年年初，360手機(jī)安全專家就曾揭秘二維碼吸費(fèi)的真相。用戶在搜二維碼的同時(shí)會(huì)在不知情的情況下安裝手機(jī)木馬從而造成財(cái)產(chǎn)損失。

而在本月，360發(fā)布的國(guó)內(nèi)首個(gè)移動(dòng)支付安全報(bào)告中也提及，目前移動(dòng)支付面臨著巨大的安全隱患。購(gòu)物及支付類木馬往往會(huì)使用一些最新的攻擊技術(shù)和攻擊方法，防范難度較大。這些木馬還會(huì)偽裝成各種不同的應(yīng)用，誘騙用戶下載安裝。與此同時(shí)，詐騙短信、手機(jī)丟失成為移動(dòng)支付安全的嚴(yán)重威脅之一，二維碼木馬釣魚詐騙和電子密碼器升級(jí)詐騙等則是目前針對(duì)移動(dòng)支付流行的典型網(wǎng)絡(luò)騙術(shù)。

縱觀國(guó)際金融支付領(lǐng)域的現(xiàn)狀，支付系統(tǒng)的安全風(fēng)險(xiǎn)是目前國(guó)際金融都需要解決的一大問(wèn)題。尤其是在信用業(yè)務(wù)和支付系統(tǒng)上，由于涉及的主體多為普通人，不確定性很大，一旦出現(xiàn)漏洞將會(huì)對(duì)金融系統(tǒng)帶來(lái)巨大沖擊。

從目前來(lái)看，國(guó)內(nèi)對(duì)于互聯(lián)網(wǎng)金融的法規(guī)監(jiān)管相對(duì)缺失。業(yè)內(nèi)人士認(rèn)為，應(yīng)盡快完善互聯(lián)網(wǎng)金融監(jiān)管體系，推動(dòng)建立互聯(lián)網(wǎng)金融消費(fèi)者權(quán)益保護(hù)的法律制度框架。

（本刊記者綜合整理）endprint