當一個人可以對上億人“犯罪” 2015.5.29日
[導語]作為上市公司,旅行服務業巨頭,攜程網終將在中國互聯網安全史上佔據一個重要的位置。這位置並不光榮,充滿恥辱。
5月28日11時許,攜程官網及移動APP陷入癱瘓狀態,無法正常使用。今日凌晨4點18分,攜程宣佈官網及APP已於28日23:29正常運行。並聲明此次事件是由於員工錯誤操作導致。
南都社論將“攜程網癱瘓”定性為“迄今為止國內遭遇過的時間最長的互聯網重大安全事故”。本週對於中國互聯網公司來説禍不單行,就在前一日,支付寶也癱瘓了兩個半小時,原因是杭州市蕭山區某地光纖被挖斷。對此,有行業人士説,什麼大數據、雲計算、工業4.0,都頂不住傳統行業一鏟子。
中國人與互聯網擁抱得如此緊密,以至於今天互聯網的風吹草動,都足以讓人寢食難安。
●互聯網安全危機開始成為公共安全危機
作為中國老牌旅行服務公司,攜程為超過1.4億會員提供酒店預訂、機票預訂、旅遊度假、商旅管理等服務,是諸多中國公司機構訂酒店機票的常用平台,與建行、招商、廣發等銀行還發行有聯名信用卡。
可想而知,一個1.4億會員使用的平台,一旦發生系統癱瘓,將會影響多少公司和個人用户的正常業務,所造成的直接、間接損失難以估量。
不同於傳統的新聞、通訊服務,今天支付寶、微信、攜程等互聯網服務供應商影響力巨大,它們給用户提供的服務已經像水和電一樣難以離開。同時它們手中掌握着大量用户身份、信用、金融等重要數據,一旦出問題就不只是互聯網安全事故,還很可能成為公共安全事故。馬雲就曾表示:如果自己把支付寶弄癱瘓,自己面臨的不僅是公司倒閉,還有進監獄。
●技術小疏忽會釀成波及全國大事故
2006年4月20日10時56分至17時30分,中國銀聯繫統突發故障,北京、上海、杭州等大城市紛紛出現無法跨行取款、POS機無法消費等情況,粗略估計,銀聯繫統故障造成約34萬家商户及6萬台ATM機受影響。
事隔6天之後,銀聯在發佈了極其含糊的官方説法,稱“主機發生故障”,但拒絕透露“主機致命”的真正原因。不過據信息時報報道,銀聯計劃在4月25日上線一台新設備,20日上午工作繁忙時段,正當銀聯技術人員進行測試的時候,系統主機突然出現宕機,導致整個系統癱瘓,全國跨行交易無法正常進行。這一次宕機事件,反映出銀聯事前對產品測試中可能出現的問題估計不足,並沒有估計到系統癱瘓的面積會如此之大、情況如此嚴重,事先所準備的應急預案只不過是針對小範圍的故障的。
受影響企業之一的杭州銀泰百貨公司信息部負責人説:“如果考慮更周全一點,也許問題就不會發生。”關鍵系統的切換幾乎都會選擇在交易量最小的時間,如夜間進行,此時萬一出現事故,也可將風險降至最低。
●一個人的犯罪足以侵害上億人
關於此次攜程宕機的原因,有一種猜測流傳甚廣——內部員工蓄意報復。
“內鬼”的危害有多大?2014年,在人口 5000 萬的韓國,至少有 2000 萬人的信用卡信息被盜,這是韓國曆史上最嚴重的信息泄露事件。
這麼大規模的泄露不是因為哪個黑客組織技術高超,而是源自個人信用評估公司的內部員工監守自盜。2012年5月到2013年12月間,韓國信用評價公司(KCB)39歲的技術人員樸某,竊取了3家公司發行的1.04億張信用卡的用户信息。這個內鬼從三大韓國銀行的內部服務器裏調取了這些用户敏感信息,並轉賣給電話營銷公司。
包括韓國總統朴槿惠、前總統李明博、金融監督院院長、金融委員會委員長等都是此案的受害者。
●互聯網創新和盈利的前提是安全
在互聯網擴張風潮下,今天互聯網公司都熱衷大談商業模式創新,技術讓位於業務成為互聯網界的普遍現象。重視業務當然沒錯,但如果因此而忽略了技術甚至難以抵禦安全風險的現實,將會導致嚴重後果。
2013年年底美國折扣零售巨頭塔吉特(Target)的客户數據泄漏事件是一個血淋淋的例子: 1.1億顧客的數據失竊事件爆發之後,12%的老顧客不再去塔吉特消費,而36%的零售商減少了購貨頻率。而那些繼續在塔吉特購物的人中有79%不再使用信用卡消費了,取而代之的是使用現金。據估計塔吉特的損失當時已達1.48億美元,並最終可能達到10億美元。塔吉特辭退了時任CEO並重新任命一位首席信息安全官。
不注意保護用户信息的企業在國外會受到政府的懲罰。2013年7月,索尼公司因PSN服務大規模數據泄露事件被英國數據保護監管部門罰款40萬美元。當時PSN服務泄露的用户數據包括用户姓名、地址、電子郵件地址、生日和帳號密碼等,用户的信用卡信息也面臨泄露風險。對於此次罰款,英國信息專員辦公室副專員、數據保護主管大衞•史密斯表示,索尼本應盡對客户信息提供有效保護的注意義務:“如果你掌握瞭如此多的支付卡和登錄信息,那麼確保用户數據的安全將是優先工作。然而在本案中情況並非如此。當數據庫被攻擊時,安全保護措施完全不夠。”
在中國,根據相關規定,用户個人信息發生或者可能發生泄漏、損毀、丟失的,企業應當立即採取補救措施;造成或者可能造成嚴重後果的,應當立即向准予其許可或備案的電信管理機構備案。電信管理機構依據職權要求企業限期整改,並可處於1萬元以上、3萬元以下罰款。
但大部分公司,在陷入網絡安全問題並影響到用户時,通常的做法僅僅是對用户“深表歉意”,幾乎不會對賠償用户損失做出説明及承諾,更沒有人會為那些或昂貴或廉價的時間成本負責。
●為什麼有中國互聯網公司兩次踏入同一條河流?
攜程因技術安全問題成為新聞主角不是第一次。
曾有分析人士指出:“現在的網絡安全事故,看起來是漏洞引起的,實際上核心還是用户信息保護做得不夠。有的網絡企業明文上傳用户交易數據,甚至為了交易方便保存一些不該保存的信用卡信息。”
攜程在2014年3月曾爆出過客户銀行卡信息“泄露門”,引發了一場關於支付安全的全民恐慌。當時烏雲漏洞平台發佈消息稱,攜程網安全支付日誌存在漏洞,可導致大規模用户信息如姓名、身份證號、銀行卡類別、銀行卡卡號、銀行卡cvv碼(信用卡背面的三位數安全碼)等信息泄露。而一旦這些信息被黑客竊取,在網絡上盜刷銀行卡將變得易如反掌。
這一漏洞被揭在業界引起軒然大波,更被指為“低級技術錯誤”。攜程官方公告中用寥寥數語介紹:“經查,技術開發人員之前是為了排查系統疑問,留下了臨時日誌,因疏忽未及時刪除,目前,這些信息已被全部刪除。”當時有技術人士分析:“像寫日誌這樣的工作,在公司裏一般是剛畢業的小朋友或者實習生乾的,如果沒有嚴格的審核機制、代碼的規範,出這樣的錯誤就不出意料。”
攜程當時被詬病的不僅是漏洞被捕獲,更重要的是泄露的用户信息中包括了銀行卡CVV碼這類被明令禁止不得儲存的數據信息。“交易網站存CVV相當於小時工偷偷配了你家的鑰匙,同時,他還知道關於你家所有的信息。攜程明文存儲了用户信用卡的CVV,還泄漏了,前一個是企業的基本道德問題,後一個是安全問題。”