[导语]作为上市公司,旅行服务业巨头,携程网终将在中国互联网安全史上占据一个重要的位置。这位置并不光荣,充满耻辱。
5月28日11时许,携程官网及移动APP陷入瘫痪状态,无法正常使用。今日凌晨4点18分,携程宣布官网及APP已于28日23:29正常运行。并声明此次事件是由于员工错误操作导致。
南都社论将“携程网瘫痪”定性为“迄今为止国内遭遇过的时间最长的互联网重大安全事故”。本周对于中国互联网公司来说祸不单行,就在前一日,支付宝也瘫痪了两个半小时,原因是杭州市萧山区某地光纤被挖断。对此,有行业人士说,什么大数据、云计算、工业4.0,都顶不住传统行业一铲子。
中国人与互联网拥抱得如此紧密,以至于今天互联网的风吹草动,都足以让人寝食难安。
●互联网安全危机开始成为公共安全危机
作为中国老牌旅行服务公司,携程为超过1.4亿会员提供酒店预订、机票预订、旅游度假、商旅管理等服务,是诸多中国公司机构订酒店机票的常用平台,与建行、招商、广发等银行还发行有联名信用卡。
可想而知,一个1.4亿会员使用的平台,一旦发生系统瘫痪,将会影响多少公司和个人用户的正常业务,所造成的直接、间接损失难以估量。
不同于传统的新闻、通讯服务,今天支付宝、微信、携程等互联网服务供应商影响力巨大,它们给用户提供的服务已经像水和电一样难以离开。同时它们手中掌握着大量用户身份、信用、金融等重要数据,一旦出问题就不只是互联网安全事故,还很可能成为公共安全事故。马云就曾表示:如果自己把支付宝弄瘫痪,自己面临的不仅是公司倒闭,还有进监狱。
●技术小疏忽会酿成波及全国大事故
2006年4月20日10时56分至17时30分,中国银联系统突发故障,北京、上海、杭州等大城市纷纷出现无法跨行取款、POS机无法消费等情况,粗略估计,银联系统故障造成约34万家商户及6万台ATM机受影响。
事隔6天之后,银联在发布了极其含糊的官方说法,称“主机发生故障”,但拒绝透露“主机致命”的真正原因。不过据信息时报报道,银联计划在4月25日上线一台新设备,20日上午工作繁忙时段,正当银联技术人员进行测试的时候,系统主机突然出现宕机,导致整个系统瘫痪,全国跨行交易无法正常进行。这一次宕机事件,反映出银联事前对产品测试中可能出现的问题估计不足,并没有估计到系统瘫痪的面积会如此之大、情况如此严重,事先所准备的应急预案只不过是针对小范围的故障的。
受影响企业之一的杭州银泰百货公司信息部负责人说:“如果考虑更周全一点,也许问题就不会发生。”关键系统的切换几乎都会选择在交易量最小的时间,如夜间进行,此时万一出现事故,也可将风险降至最低。
●一个人的犯罪足以侵害上亿人
关于此次携程宕机的原因,有一种猜测流传甚广——内部员工蓄意报复。
“内鬼”的危害有多大?2014年,在人口 5000 万的韩国,至少有 2000 万人的信用卡信息被盗,这是韩国历史上最严重的信息泄露事件。
这么大规模的泄露不是因为哪个黑客组织技术高超,而是源自个人信用评估公司的内部员工监守自盗。2012年5月到2013年12月间,韩国信用评价公司(KCB)39岁的技术人员朴某,窃取了3家公司发行的1.04亿张信用卡的用户信息。这个内鬼从三大韩国银行的内部服务器里调取了这些用户敏感信息,并转卖给电话营销公司。
包括韩国总统朴槿惠、前总统李明博、金融监督院院长、金融委员会委员长等都是此案的受害者。
●互联网创新和盈利的前提是安全
在互联网扩张风潮下,今天互联网公司都热衷大谈商业模式创新,技术让位于业务成为互联网界的普遍现象。重视业务当然没错,但如果因此而忽略了技术甚至难以抵御安全风险的现实,将会导致严重后果。
2013年年底美国折扣零售巨头塔吉特(Target)的客户数据泄漏事件是一个血淋淋的例子: 1.1亿顾客的数据失窃事件爆发之后,12%的老顾客不再去塔吉特消费,而36%的零售商减少了购货频率。而那些继续在塔吉特购物的人中有79%不再使用信用卡消费了,取而代之的是使用现金。据估计塔吉特的损失当时已达1.48亿美元,并最终可能达到10亿美元。塔吉特辞退了时任CEO并重新任命一位首席信息安全官。
不注意保护用户信息的企业在国外会受到政府的惩罚。2013年7月,索尼公司因PSN服务大规模数据泄露事件被英国数据保护监管部门罚款40万美元。当时PSN服务泄露的用户数据包括用户姓名、地址、电子邮件地址、生日和帐号密码等,用户的信用卡信息也面临泄露风险。对于此次罚款,英国信息专员办公室副专员、数据保护主管大卫•史密斯表示,索尼本应尽对客户信息提供有效保护的注意义务:“如果你掌握了如此多的支付卡和登录信息,那么确保用户数据的安全将是优先工作。然而在本案中情况并非如此。当数据库被攻击时,安全保护措施完全不够。”
在中国,根据相关规定,用户个人信息发生或者可能发生泄漏、损毁、丢失的,企业应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或备案的电信管理机构备案。电信管理机构依据职权要求企业限期整改,并可处于1万元以上、3万元以下罚款。
但大部分公司,在陷入网络安全问题并影响到用户时,通常的做法仅仅是对用户“深表歉意”,几乎不会对赔偿用户损失做出说明及承诺,更没有人会为那些或昂贵或廉价的时间成本负责。
●为什么有中国互联网公司两次踏入同一条河流?
携程因技术安全问题成为新闻主角不是第一次。
曾有分析人士指出:“现在的网络安全事故,看起来是漏洞引起的,实际上核心还是用户信息保护做得不够。有的网络企业明文上传用户交易数据,甚至为了交易方便保存一些不该保存的信用卡信息。”
携程在2014年3月曾爆出过客户银行卡信息“泄露门”,引发了一场关于支付安全的全民恐慌。当时乌云漏洞平台发布消息称,携程网安全支付日志存在漏洞,可导致大规模用户信息如姓名、身份证号、银行卡类别、银行卡卡号、银行卡cvv码(信用卡背面的三位数安全码)等信息泄露。而一旦这些信息被黑客窃取,在网络上盗刷银行卡将变得易如反掌。
这一漏洞被揭在业界引起轩然大波,更被指为“低级技术错误”。携程官方公告中用寥寥数语介绍:“经查,技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。”当时有技术人士分析:“像写日志这样的工作,在公司里一般是刚毕业的小朋友或者实习生干的,如果没有严格的审核机制、代码的规范,出这样的错误就不出意料。”
携程当时被诟病的不仅是漏洞被捕获,更重要的是泄露的用户信息中包括了银行卡CVV码这类被明令禁止不得储存的数据信息。“交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。携程明文存储了用户信用卡的CVV,还泄漏了,前一个是企业的基本道德问题,后一个是安全问题。”