摘要:携程支付日志泄露后引发了巨大的信任危机,对此国内安全团队Keen Team对表示,在安全支付日志中被记录的用户敏感信息是经过AES加密的,在加密密钥没有对外泄露的情况下,AES的加密强度足以抵御来自民间的解密尝试。Keen Team团队安全专家表示,携程这次严重安全问题是由多个因素共同导致的。
一是开发人员在应用开发的排错过程中打开了Debug开关,导致安全支付日志中错误记录了用户银行卡的相关信息;二是安全支付日志目录本身没有做好安全基准配置,或者通俗的讲法,没有做好目录权限控制,导致安全日志通过互联网可以被浏览、遍历和下载。
在安全支付日志中被错误记录的用户敏感信息,包括信用卡号、信用卡有效期、信用卡CVV三位验证码是经过AES加密后存储在安全日志中的。在加密密钥没有对外泄露的情况下,AES的加密强度足以抵御来自民间的解密尝试,加密处理过的用户信息在一定程度上还是得到保障的。
从技术角度评判,这次安全事件中的漏洞本身技术因素并不复杂,导致问题的主要原因是开发和运维人员缺乏安全意识,同时也缺乏安全问题发生时相应的技术防护手段。简而言之,这次安全事件更多的是信息安全管理的问题。这次事件携程在事后的快速响应表现也不错。
对于涉及支付的重要互联网应用,为了避免此类严重问题再次发生,Keen Team认为有必要做好以下几点:
1. 实际生产环境和测试开发环境应该隔离。业务问题的排错应该在测试环境中进行,避免生产环境收到影响。
2. 在生产环境中的任何改动,需要严格遵循变更管理流程,做到执行人、时间、执行对象和具体改动均记录在案,并有企业信息安全部门进行事前审核和事后审计。
3. 遵循支付相关规范标准,类似用户的CVV码等验证信息是严禁存储的。对于“无卡支付”这类业务要求,企业信息安全部门应该及早介入并制止。建议对现有支付手段进行排查,并消除此类安全隐患。
4. 做好所有开发人员和运维保障人员的安全意识教育,他们的一举一动都会影响用户的个人隐私信息安全。
Keen Team是国内顶尖的白帽安全团队,团队成员相继在去年和今年的Pwn2Own黑客大赛上攻破了iOS 7.0.3、64位Mac OS X 10.9.2和Windows 8.1。