携程泄漏信息事件只是撕开了风险的一个口子
人民网[微博]上海3月28日电(魏倩) 国内知名在线旅游网站携程旅行网(简称携程)22日被曝用户信用卡信息泄露之后,谭先生紧急挂失了他的工商银行牡丹信用卡——他一周前刚通过携程买了两张机票。尽管不在携程圈定的信息遭泄露的93个用户名单之中,他仍然担心信用卡被盗刷。
携程表示当日进行了紧急处理,并通知泄密信息用户更换信用卡后,并称公司支付是安全的。携程最新声明称,将对支付流程进行整改,不再保存客户的银行卡CVV信息(用来验证信用卡),以前保存的CVV信息正在删除。
携程泄密只是撕开了多年来这个行业风险的一个口子。曾在大型旅游公司工作六年、担任运营部门负责人的肖铭(化名)向人民财经透露,合规做法是用户卡信息系统不得记录,但实际上内部系统保存下来直接存到数据库了,而且一般都是永久性保存,而不是定时删除。
肖铭和一名搜索引擎公司的高级技术官告诉人民财经,信息的安全全靠职业操守和行业自律。但问题是行业和其从业人员能真的做到吗?
“有人买数据,我拒绝了”
虽然携程声明将删除以前保存的CVV信息,但其他公司的合规性却难以确定,隐患仍存。“很早我就发现我们公司(指他原来就职的差旅公司)记录了上万张信用卡信息,而且每天都以几百张的速度增加,”肖铭告诉人民财经,所有信息全部存在数据库里面。
通过携程、艺龙、去哪儿等在线旅游网站订购机票酒店等,一般采取线上和线下支付两种方式,线上是通过第三方支付机构和合作银行,而线下则是POS机和电话支付。其中,电话支付要绑定用户的信用卡,操作人员是旅游公司的客服(TC部门)。
“只要是国内做电话支付的差旅公司,都会记录下客户的信用卡全部信息,”肖铭透露,这是为方便常旅客下次消费直接调出记录支付。除电话支付外,部分网上支付同样需要提供信用卡信息。如果网站也做了记录保存,和电话支付性质一样。
除了信息泄露的风险,令人瞠目的是,这些留存的用户姓名、身份证、所持银行卡类别、卡号、CVV等信息因其能帮助挖到优质客源还成为同行私下竞买的标的。肖铭透露,曾经就有人私底下找他买数据,但被他拒绝了。那时他所在的公司有5000条高端客户信息。据他称,信息按条数卖,价格从500元-2000元不等。为了不被其他差旅公司发现,通常买方不会全买,而是买几百条打乱顺序的记录。
“这全靠职业操守”,肖铭说,大多数旅游公司IT部门管理都不严格,很多新人进来也可以碰触到这些信息,备份整库都可以。携程暴露的问题,不仅仅是疏忽泄露信息这回事,而是支付流程风险和管理问题。同样地,包括直接向航空公司购买机票时,用信用卡支付时依然需要向客服操作人员提供信用卡号和CVV码。
而像去哪儿这样的平台网站,里面充斥的无数无资质的小代理商更需警惕,“一旦出问题,连人都找不到”。正是意识这些情况,肖铭选择离开了这个行业。
为什么偏偏是携程?
网站泄露信息并非第一次发生。2013年10月,浙江一个酒店数字服务商因安全问题泄露了大量用户酒店消费记录。从技术角度上来说,“任何系统都会愿意记录这些信息,”上述资深技术人员向人民财经解释,因为这些信息有价值,用户下次来消费时支付流程会更快点。
目前在线旅游网站的主要竞争格局中,携程主要做机票,艺龙做酒店,而去哪儿做平台。他们之间比拼的不仅是价格,主要还有服务带来的用户体验度。所以呼叫中心一度是最主要的销售和服务渠道。比如,用户的机票遇到退改签、升舱、退费票、转机等情况时还得靠打呼叫电话。
携程公共事务部闫鑫24日对媒体的回复也印证了这一点,“部分信用卡发卡银行为了提高支付成功率及客人感受,仅需输入卡号及有效期即可支付,此并非源于携程的要求。”上述技术官对人民财经记者解释,“整个支付系统是漏斗结构,多一个步骤就会流失一部分客户。保存信息就是为提高转换率,增加便捷度。所有的快捷支付都如此。”
在互联网技术发展和普及后,在线旅游网站转型互联网,调整业务。2008年时,艺龙网有87%的业务量由呼叫中心带来,至2012年降为20%,而携程至2013年初还有30%业务是呼叫中心带来,据称在上海南汇携程设有一个规模超过2000人的呼叫中心。肖铭的老东家也仍然靠呼叫中心带来70%业务量。
携程四大核心业务分别是酒店、机票、旅游和商旅。据称其出票系统和预订系统单独与航空公司所谈,而不通过同行都必须使用的中国民航信息集团公司中航信系统,交“过路费”。
相比而言,携程的互联网转型似乎慢了。2012年携程业绩大幅下滑之际,成立无线部门,技术出身的梁建章[微博]回归亲自抓此项业务。但更早些时,互联网巨头腾讯和百度[微博]都已进入此行业。2011年,百度控股去哪儿网,腾讯为第二大股东,2012年腾讯又投资同程网,巨大的流量导入其竞争对手,使得携程面临巨大压力。为此,携程花了5亿美元发起了一场价格战,结果行业所有大的在线网站都参与进来,比如去哪儿网向所有旅游在线供应商免费开放。
此次携程因技术调试造成的信息泄露是对梁建章的“技术互联网”的一次打击,此次出问题的正是梁亲自抓的部门。携程的反攻刚刚开始,却遇上信息泄露事件,肖铭认为这必定对携程的品牌和业务造成冲击。
