致命的大数据泄密 - 南京雨花台宁南IDC服务

致命的大数据泄密

有句墨西哥谚语说“别跑得太快了，你会把灵魂跑丢的”。
　　中国高速发展的互联网企业，不幸被这句谚语说中。
　　日前，国内在线旅游行业巨头携程旅行网陷入“泄密门”，携程用户信用卡信息面临泄露风险，引发数用户的恐慌。此后，更

多的问题暴露出来(如携程还在用户不知情的情况下存储了用户信用卡的C V V码等)，让用户对安全漏洞忧心忡忡。
　　进入大数据时代，信息安全受到用户的高度重视。然而，这两三年以来，不断传出互联网企业信息泄露事故，特别是前年密集

的快递公司用户资料泄露事故，去年10月份的“酒店开房信息遭泄露”事件，以及这次的携程“泄密门”，泄露的信息越来越

逼近用户的核心利益。
　　世界上没有完全可靠的安全防护措施，各种技术层面上的和管理层面上的安全漏洞，加上无孔不入的入侵，使得信息安全

如同高悬在用户头上的达摩克利斯之剑，随时都有落下来的可能，谁也不知道下一次更严重的泄露事故何时会发生……
　　携程陷“泄密门”
　　“各位注册过携程的，在携程用信用卡支付过的，赶紧关掉信用卡网上支付吧，出大事了……”3月22日晚间，这条微信被疯转

，并快速引发连锁反应，汹涌的电话涌向农业银行、交通银行等携程合作银行，电话的主题只有一个：换卡或者解除捆绑。
　　这里所谓的“出大事”，就是有了携程的安全漏洞。3月22日傍晚18点18分，一个编号为54302的漏洞报告，被在

互联网安全问题反馈平台乌云(w***)之上，发布者是乌云的核心白帽子“猪猪侠”。乌云平台这两年因多次发布知名互

联网公司的安全漏洞，受到互联网公司信息技术部门和专业人士的高度重视。但是，对于绝大多数普通人来说，乌云平台完全是个

陌生的词汇，乌云平台上发布的漏洞报告，也是与自己的生活八竿子也打不着。
　　然而，这次的漏洞报告却是个例外。
　　“猪猪侠”在报告中指出，携程的一个漏洞会导致大量用户(包含持卡人姓名、身份证、号、卡C V V码

、6位卡Bin)泄露，而这些信息可能直接引发等问题。携程有着数千万会员用户，而携程的漏洞可能导致信用卡，事关“钱

袋子”，兹事体大！很快，各种版本的传言，借助微信、微博以几何倍增的速度传开，“换卡”一时间成为传播为频繁的热词。
　　“晚上回到家，打开微信一看，朋友圈里炒翻了天，都是说携程泄露的事，都在提醒朋友们换卡。我在携程上也捆绑了几张信

用卡，当时就慌了，马上致电几家银行要求解除与携程的捆绑。事关资金安全，宁可信其有，不可信其无。”家住广州番禺南国奥

园的潘小姐告诉南都。
　　据了解，携程合作的银行包括工商银行、中国银行、招商银行、浦发银行等十余家，第三方支付机构包括支付宝、财付通、银

联在线等。在22日当晚，与携程合作的上述银行客服电话几乎被打爆。
　　在漏洞报告挂出来两个小时后，携程方面做出回应称，这是在技术调试过程中出现了短时漏洞，携程在两小时内修复了这个漏

洞。携程声明，除了漏洞发现人做了少量的测试下载并已全部删除外，没有出现恶意下载有关数据的情况。携程同时承诺，未来如

果因安全漏洞引起用户损失，将承担全部责任并给予赔付，并强调“用户在携程的交易仍旧是安全的，用户的信息安全没有受到影

响”。第二天，针对漏洞事件，携程再次发表声明，此次漏洞共涉及93名存在潜在风险的携程用户，客服已通知相关用户更换信用

卡。
　　然而，携程的这份回应，并没有打消用户的顾虑。且随着更多信息的披露(包括携程用户的被案例，技术专家的分析等

)，携程更多的问题被，特别是携程擅自保存用户信用卡C V V码(又叫用户识别码，是进行非面对面交易时用于确认用户

身份的识别码，作用类似于密码)等信息，更是违反了中国人民银行颁发的《收单业务管理办法》。
　　此后，携程方面承认了非法存储C V V码一事。其补救措施是“我们将在交易完成后删除客户的CV V信息，不再保存。以前保存

的那些CV V信息，正在予以删除”。另外，客户信用卡信息的传输和保存始终处于加密状态，任何未经授权的人员都无法取得这些

资料。携程部相关负责人在接受南都采访时强调：“我们已建立了信用卡安全服务小组，将协助客户与银行沟通。未来如

果因携程安全漏洞引起用户损失，携程将承担全部责任并给予赔付。”
　　携程漏洞的发现者“猪猪侠”在接受南都采访时，对携程的事都说不方便提，对携程漏洞的危害性大不大这个问题，更是

直言“不回答”。不过，知道创宇的研究部总监余弦告诉南都，这次携程用户反应过度了，绝大多数人都是技术门外汉，对信

用卡安全的担忧，造成了一种恐慌情绪。“乌云是在携程对漏洞及时修复后才发布漏洞报告的，并没有泄露信息，威胁没想的那么

大”。
　　被称为“中国教父”的龚蔚在接受南都采访时则强调，从乌云方面的说法看，是把携程这个漏洞的危害级别列为高级

；从携程方面披露的情况看，影响的用户是93个，身份证号和姓名是明文，信用卡和C V V码是强加密。如果携程说的是真的话，这

对一般来说，破解是有难度的。
　　互联网公司“命门”
　　“每一次数据泄密，都是的一次狂欢。”在广州开了家小型工作室的郑阳告诉南都。郑阳的工作室对外号称专注

数据挖掘业务，其实主要业务就是为客户获取竞争对手的商业数据资料。“客户资料数据是很多企业梦寐以求的东西，互联网公司

的，动辄千万级上亿级，拿到手就能到地下黑市换钱。”
　　携程“泄密门”，是近两三年来诸多互联网公司———包括那些深度融入互联网的传统公司，如连锁酒店、快递公司等———

信息泄露事故的新版本。在携程“泄密门”之前，影响较大的信息泄露事件，就包括去年10月份的“酒店开房信息遭泄露”事件

，2012年年底发生的快递公司用户资料泄露事故，以及2011年底发生的中国互联网史上大泄密事件：由国内大的程序员社区C

SD N上600万用户资料被公开拉开序幕，天涯社区、猫扑、开心网、多玩等多家知名互联网公司先后被爆客户注册信息库被泄密等。
　　在郑阳看来，大数据时代，才是的“黄金时代”，而高速发展的互联网企业数据信息，则是盘中的“美味佳肴”。“

互联网公司发展太快，各种安全机制根本跟不上。特别是那些中小互联网公司，留下了大量的漏洞。”相对而言，大公司的信息安

全配置相对较为靠谱，但老虎也有打盹的时候。“大公司一旦出现一些人为失误，产生安全漏洞，们就会像秃鹫一样扑上去。

当然，这一切常人都看不见。”
　　所幸的是，这次发现携程安全漏洞的是白帽子，这些白帽子一般都会在发现漏洞后立即向相关公司发出警报，在公司

修补好漏洞之后再向公众公布。如果是被不怀好意的发现了这个漏洞，那么，携程“泄密门”的影响，绝不是现在这个局面。

因为从目前披露的信息来看，携程不但会保存客户的信用卡卡号，连背后的三位C V V码都会一并保存。后果自然是严重的：在境外

，很多网站是不需要额外的密码，只需要获得这两样信息就能轻易地将信用卡里的钱划走。
　　互联网企业对信息安全投入的不足，给狂欢创造了便利条件。
　　以广州某知名电商公司为例，该公司年销售规模近百亿人民币，但公司在信息安全上的投入明显不足，其负责信息安全的团队

不足十人。“欧美互联网公司在信息安全方面的投入，往往占到IT总支出的8%～10%左右，而中国互联网公司在信息安全方面的投入

只占到IT总投入的1%左右。相比而言，国内金融机构在信息安全上的投入往往会占到整体IT投入的10%以上。”在信息安全领域打拼

了十余年的华夏创技有限公司副总裁卢德利告诉南都，“同样是数亿用户，金融机构有着严格的信息安全管理机制，很少

出人为失误。但互联网公司则有很多的人为安全漏洞，在这方面互联网公司需要大补课。”
　　互联网企业之所以成为信息泄露的重灾区，在余弦看来，还有一个重要原因，就是以前线下的坑蒙拐骗都搬到了互联网上，利

用互联网的各种漏洞进行违法犯罪活动。“互联网打破了空间和区域的限制，又大大缩短了时间成本，这就让骗子们的犯罪成本变

得比以前低很多。而且现在互联网的监管力度都比较松散，法律法规也比较复杂，导致这样提供犯罪的机会就更多了。”
　　层出不穷的泄密
　　陈冠希“艳照门”已成往事，斯诺登泄密事件也只是老百姓茶余饭后的谈资。然而，这两三年不断发生的快递公司用户资料泄

密、连锁酒店用户资料泄密、信用卡资料泄密，则与普通老百姓的生活密切相关，自然备受关注。
　　用户资料信息泄密的危害有多大？深圳的张雪女士(化名)谈到这个话题仍然心有余悸。张雪是个淘宝迷，接收快递是家常便饭

。2011年国庆过后，有快递人员给张女士打电话，说有快递包裹送上门，让张女士收一下。当时张女士和丈夫都在上班，家里只有

婆婆一个人。张女士就打电话给婆婆让婆婆开门签收。“开门后，一个自称是快递公司工作人员的人径直闯进房内，婆婆拼命想拦

住也没用，只有大声呼叫。幸亏当时小区保安在附近巡逻，闻声赶来，才将那个人抓住。后来经警察审讯，才知道这个人背后有一

个团伙，专门从快递公司购买用户资料，然后根据用户资料上的信息，要么欺骗用户骗取钱财，要么就趁用户家里人少干脆强行绑

架抢夺。”
　　南都查询发现，这两年以来，国内多个地方都发生过假冒快递人员上门送货，实施抢劫、杀人、强奸等恶性犯罪的案件，

信息泄露已经严重威胁到人们的生命财产安全。而连锁酒店“开房信息泄露”事件，则因为涉及到很多人的隐私问题，让很多人寝

食难安。这次携程“泄密门”事件引发公众恐慌，则是因为公众担心自己捆绑的信用卡被。
　　乌云平台携程的漏洞之后，很多携程用户在微信和微博上吐槽，讲述自己信用卡被的惨痛经历。新浪微博实名认证为

“广西易搜科技有限公司C E O”的“严茂军”在微博上爆料称，早在2月25日，他绑定在携程的两张双币种信用卡就被人在境外盗

刷了1万多元人民币，共84笔。“我办了6张信用卡，其中3张与携程绑定，另外3张没有绑定。出问题的交行信用卡和农行信用卡都

是绑定的信用卡。看来携程的漏洞此前一直都存在，只不过这次被乌云了而已。”严茂军告诉南都。
　　不过，独立电商分析师李成东在接受南都采访时却表示，不应该片面夸大携程“泄密门”对整个互联网行业的负面影响。

“这次的漏洞仅限于支付领域，并且是携程自身的问题，不会引申到整个行业。携程自己已经在做了，竞争对手也不会煽

风点火，毕竟蔓延开来对整个行业都不好。”
　　链
　　数据泄露之所以可怕，是因为天上有这只秃鹫在盘旋。不会放过稍纵即逝的机会。
　　大数据时代，用户数据更是成为各大商家争夺的香饽饽。而获得用户数据“便捷”的方式，无疑就是通过入侵。当然，

对于那些“主动”暴露出来的数据，自然是喜逢甘露，照单全收。
　　郑阳的工作室，主要贩卖两类数据。一类就是网络上到处都在挂牌销售的所谓的“数据库大全”，包括、保险用

户资料、信用卡用户资料、手机用户资料等等，这类数据需求量大，价格也便宜。广州、深圳、东莞等重点城市超过10 0万的车主

资料，5万个资料起卖。以前一个资料收费要1元，现在5毛、3毛都卖。金山公司安全专家李铁军告诉南都，自互联网诞生之日

起，互联网用户数据的交易就开始了。不少数据经过多次贩卖，其中相当一部分都已经成了无效数据。不过，这并不妨碍有客户继

续花钱购买这些信息。
　　另一类数据，就是根据客户需求找到的“个性化数据资料”。“有些客户想获取竞争对手的用户资料，或者公司的商业机密，

这就需要通过技术手段进入对方的数据库。大公司的网络安全会严格一些，入侵难度较大。中小公司的数据库在我眼里就是裸体。

”郑阳告诉南都。郑阳表示，帮客户找“个性化数据资料”的费用，相对要贵很多，“一般搞定一家中型企业的数据库，会向

客户收几万的费用，这要视客户的具体需求而定，几千块的也有。如果客户要得急，难度又较高，十多万的也有。”
　　华夏创新的卢德利告诉南都，数据泄露背后的产业链已经十分成熟，大家分工明确，有专门负责盗数据的，有负责贩卖的

。“交易主要集中在论坛、社交网站、网站，就像一个菜市场，明码标价，等着客户上门。”
　　南都在Q Q上查找“”群，仅广州地区就有7个相应的Q Q群。一位群主告诉，“我们有新的广州，

包括：车主、初登日期、发动机号、车架号等等，资料真实可靠，如果有意可以先发几个样品让你看看。”询问这些

资料的来源，对方以“商业机密”为由拒绝透露。见问得多了，就给回了句“考虑清楚了再联系我”。
　　余弦告诉南都，地下数据交易异常活跃，主要是需求旺盛。“哪些人会需要这些数据，小的电商？不，任何一个公司都会

想要这些数据，因为这些用户数据拿来了，通过用户属性分析是可以提高生产力和工作效率的，这就是现在大数据时代，每个公司

对数据的大量需求，这种需求本身是好的，但如果靠盗取、买卖数据的话就属于偏门了。”
　　下一个桶
　　互联网公司一次又一次的数据泄露事故，不断敲打着广大网民脆弱的神经，不安全感就如同高悬在网民头上的达摩克利斯之剑

，随时都有落下来的可能。而这次的携程“泄密门”，更是让网民切实体验到危险就在身边，恐慌在所难免。
　　在“中国教父”龚蔚看来，这次携程“泄密门”事件之所以引发网民高度关注，重要的原因，是因为涉及信用卡资金安

全。随着互联网企业与金融业联系日益紧密，特别是这两年互联网金融大行其道，互联网公司的用户信息资料往往直接与用户的资

金安全相连，使得网民对互联网公司的信息安全有着更高的要求。
　　相对于客户信息资料这些“间接资产”，客户支付宝、余额宝等等账户里的现金，对而言诱惑力自然更大。这也是为什么

钓鱼网站、短信欺诈长盛不衰的原因所在。互联网金融高速发展，但相关的安全防护却与传统金融机构不可同日而语。对于互联网

金融来说，便捷和安全是博弈的两方，如何平衡是值得网络公司深思的问题。其实，包括支付宝、财付通在内的网上支付平台，都

会推广绑定的快捷支付功能，这就埋下了巨大的安全隐患。因此，互联网金融很有可能成为下一个数据泄露的“桶”，

而这个桶一旦被点燃，后果几乎不敢想象。
　　以阿里的余额宝为例，如今的余额宝开户数超过8000万户，规模已经接近5000亿元人民币。如果支付宝、余额宝这样的互联网

金融产品出现安全问题，那将是致命的问题。“现在不少支付宝、余额宝账户里的现金都是几万几十万的，如果这些账户资料被第

三方获取，那风险就太大了。”龚蔚表示，“整个状况还是令人担忧的。这次携程的“泄密门”引发了恐慌，影响很大。不过反过

来这种大反应也是好的，对一些互联网安全，第三方支付的企业敲响了警钟，更督促企业在安全方面的投入会更重视。”
　　监管层显然也意识到问题的严重性。早在今年初举办的2014年中国互联网金融高层论坛上，中国银监会副郭利根就明确要

求，互联网金融要牢牢守住信息安全底线，增强互联网金融的风险抵御能力，真正促进互联网金融行业健康发展。郭利根的话音刚

落不久，携程就出事，加强互联网金融安全监管的呼声日高，互联网金融产业压力陡增。可以预见的是，未来互联网安全将会上升

到一个前所未有的高度。
　　风控小失误致客户资料网上“裸奔”
　　中国电子商务研究中心发布新研究报告指出，携程发生信息泄露原因如下：根本原因一：违反银联规定本地保存

。携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。而根据《银联卡收单机构账

户信息安全管理标准》中明令禁止本地保存；根本原因二：服务器安全配臵不严格。携程用于保存支付日志的服务器未

做较严格的基线安全配臵，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意读取。
　　显然，条原因说明携程为了达到自己的商业目的；而第二条原因则更说明携程在内部风控上缺乏严格的机制，工作人员的

小小失误，就让客户资料在网络上“裸奔”。“并没有入侵，携程这次泄露事故，更多是管理层面的原因而不是技术层面的问

题。”IT评论员贾敬华分析指出。
　　中国数据拥有丰富的带宽资源,全国主要服务商均访问速度均衡，包括教育网在内的国内各大运营商实现多路互连。
　　数据大厦核心网络采用多线光纤接入，中国联通、中国电信线路出口带宽达到40G，教育网、中国移动、中国铁通线路带宽达到

10G。各线路均有冗余备份，无单线路故障。核心交换层采用H3C的高端产品，汇聚层交换设备采用华为系列产品，核心层与汇聚层

间采用万兆光纤连接。
　　网络控制中心可根据用户需求，对网络路由进行灵活设置，提供与特定计算机系统、外部的特定数据中心、网点的专网连接。

各客户之间的网络物理隔离，确保数据传输和网络通讯安全可靠。让用户享用高速接入、高性价比、扩展升级方便、易于维护管理

的产品及服务的同时，更放心、更安心。
　　

详情可咨询——中国数据小陶
直线：025-86883420-8026
手机：15298376052
Q Q：2329088640
网站：www.zgs***