Ctripの脆弱性は、インターネット業界全体のセキュリティ意識の低さを露呈している

ユーザーの支払い情報を保存したり、ユーザーのパスワードをプレーンテキストで保存したり... Web サイトは、表面上はプロセスを簡素化するためにこれらの不規則な操作を実行しますが、実際にはユーザーのネットワークセキュリティを犠牲にしてこれを行います。 Ctripは業界の大手企業であり、上場企業であるが、セキュリティ問題に関して非常に軽微なミスを犯した。この事件により、Ctripはユーザーからの信頼を大きく失った。これはユーザーの利益が最優先されていないとしか言えず、中国のインターネット業界におけるセキュリティ意識が全体的に弱い現状を反映しているとも言えます。

昨夜、Wuyun脆弱性プラットフォームの説明によると、Ctripはユーザーの支払い処理に使用されるサービスインターフェースのデバッグ機能を有効にし、銀行のカード所有者検証インターフェースに送信されたすべてのデータパケットがローカルサーバーに直接保存されたという。同時に、支払いログを保存するサーバーはベースラインセキュリティで厳密に構成されていないため、ディレクトリトラバーサルの脆弱性があり、すべての支払いプロセスのデバッグ情報がハッカーによって読み取られる可能性があります。

カード所有者の名前、ID カード、銀行カード番号、カード CVV コード、6 桁のカード Bin などの重要なユーザー情報が漏洩しました。この事件により、Ctripはユーザーからの信頼を大きく失い、同社の公式Weiboアカウントも多数のユーザーから批判を受けた。 Ctripによると、この脆弱性は、同社の技術開発者がシステムの問題をトラブルシューティングする際に、一時的なログを適時に削除しなかったために発生したとのこと。現在、この情報はすべて削除されている。

この事件の結果については議論せずに、まずは Ctrip ユーザーの個人的な体験をお話ししたいと思います。

Ctrip にこのようなことが起こったことは全く驚きではありません。なぜ驚かないのか？それは、私に起こった出来事をお話ししましょう。2011年のことでした。インドネシアに出張していたのですが、中国に帰る途中に香港で乗り継ぎをしなければならず、1日滞在する必要があったので、Ctripに電話してホテルを予約したのです。

結局、すべて合意に達しましたが、支払いの段階で、Ctrip は保証としてクレジットカードが必要だと言いましたが、私は問題ありませんと答えました。クレジットカードを保証として使うのは普通じゃないですか？ですよね？ごく普通のことなんです！その結果、Ctripのオペレーターは電話で中国語でクレジットカード番号、有効期限、CVVコード、ID番号を尋ね始めました！彼女は本当に尋ね、番号を読み上げるように頼み、確認のために大声で繰り返しました。

その瞬間、私はショックを受けました。彼らはただこの番号を何気なく言ったのでしょうか？クレジットカード番号、有効期限、CVVコードがあれば、オンラインでカードをスワイプするだけでいいんですよね？でも、他に方法はなく、ホテルを予約する必要がありましたが、当時はCtripだけが予約に便利で、他の方法を知りませんでした。ホテルを予約した後、怖くておしっこを漏らしそうになりました。帰宅後、すぐにクレジットカードを解約し、新しいカードを申し込みました。

これで終わりではありません。私は後でCtripに苦情を言いました。通話はほぼ1時間続きましたが、彼らのマネージャーは明らかに私が言っていることを全く理解していませんでした。まず、カード番号を読み上げるのを他人に聞かれるのが怖いのかと何度も聞きましたが、なぜ人目につかない場所を探さないのですか？ (血を吐きながら) それから彼は、Ctripのオペレーターは私のカード情報を盗むことはないと断言し続け、Ctripのオペレーターはよく訓練されていると言いました。 **銀行に行ってお金を引き出すと、銀行は従業員を信頼しているので、パスワードを直接伝えるように求めます。これはスパイ映画の秘密のコードですか? その時私はとても腹を立て、もしこれが事実なら、いつかあなたの会社の電話交換手のポジションに応募しますと言いました。働き始めたら、顧客のクレジットカード情報を覚えて、何千ドル、何万ドルもスワイプすれば、神でさえ見つけることはできません。どう説明しても通じず、大したことではないと思われているような気がしたので、腹が立ってそのまま電話を切りました。

これで終わりではありません。また 1 年が経ちましたが、私はまだ教訓を学んでいません。別の都市で TOEFL 試験を受け、Ctrip でホテルを予約したいと思いました。クレジットカード情報を求められ、CVV のところでキーボードで入力するように求められました。私の苦情がようやく役に立ったと思って、私はとてもほっとしました。彼らはようやく、このことを他人に見せてはいけないことを理解したのです。どうして私は楽ができるのでしょう?そして、私は嬉しそうにCVVを入力して#を押すと、オペレーターの優しい声が聞こえてきました。「王さん、今入力したCVVは123ですよね？」

私はその場で血を吐きそうになりました。何が問題なのですか? Ctrip は CVV コードを保存するだけでなく、顧客に多大な損失をもたらす可能性のあるこの貴重な情報にまったく注意を払っていません。このようなことが起こるのはまったく普通のことです。

誰もが疑問に思っているのは抜け穴ではなく、なぜ Ctrip が業界標準を尊重しないのかということです。

このCtrip事件は、実際に広範囲にわたる決済セキュリティ状況を露呈させました。この脆弱性は決済サービスのデバッグ中に発生しました。技術者の不注意により、Wuyunの専門家によっていくつかの一時ログが発見され、漏洩されました。現在、このニュースを報じた五雲専門家だけが93人のクレジットカード情報をダウンロードしており、この情報は暗号化された形で保存されています。この人物が情報を解読して盗み出さない限り、できるだけ早く削除されています。

現状から判断すると、実際の影響はそれほど大きくありませんが、この問題は依然として業界関係者から広く注目を集めています。主な問題は、これが脆弱性であるかどうかではなく、このログが存在する限り、システムがいかに高度であっても役に立たないからです。この情報漏洩事件はWuyun上で初めて暴露されましたが、ある人が発見できる問題は別の人によっても発見される可能性が非常に高いです。

このため、Ctrip は、この事件の具体的な内容を開示する必要があります。ログの印刷はいつ開始されましたか? 何人の機密情報が対象になっていますか? 監査統計によると、これらのファイルにアクセスした人は何人ですか? これらの質問に答えることによってのみ、ユーザーの心にある疑問を解消することができます。

技術者がミスをすることは理解できますが、最もよくある質問は、なぜCtripがCVVコードなどの機密情報を保持するのかということです。実際、電子商取引業界を理解している人は、CVV2などの機密情報を特定の発行銀行に送信する前に一時的に保存することが電子商取引業界の一般的な慣行であることを知っています。そうしないと、支払い処理中に有効なパラメータを発行銀行に渡すことができません。ペイメントカード業界データセキュリティ基準 (PCI DSS) によれば、CVV コード情報は加盟店に一時的に保存され、そのセキュリティは加盟店によって保証されます。

主な具体的な規定は 2 つあります。

① ユーザーが加盟店にクレジットカード決済を正常に完了した後、加盟店は直ちにCVVコード情報を削除する必要があります。

② クレジットカード決済が失敗した場合、加盟店はCVVコード情報を7日間保存し、その後クリアすることができます。 CVVコードに関する企業の一般的な慣行は、一時的に保管することはあっても保持しないことですが、Ctripはこれらの規制を厳密に遵守しなかったため、今回の情報漏洩事件が発生しました。

今からでも、関係を修復するのは遅くない。Ctrip が今すべきことは、立ち上がって自らの過ちの責任を取ることだ。

今のところ、正式な謝罪文は公表されていない。同時に、Ctripはできるだけ早く抜け穴を修正し、どの顧客のクレジットカード情報が漏洩したのかを突き止めるべきだ。整理し、漏洩した顧客に個別に通知して、カードの交換を依頼します。同時に、影響を受けた銀行に連絡を取り、漏洩について通知し、発行銀行に漏洩したカードを一括してブロックするよう要請しました。

ID カード番号、銀行カード番号 CVV、その他の検証情報の使用など、誰も言及していない可能性のある、このタイプの情報を含むすべてのアプリケーションシナリオを検討してください。最も一般的な検証シナリオのいくつかを以下に示します。Ctrip が公開した情報が真実であれば、この漏洩は当面すべてのオンライン取引に影響を与えることはなく、リスクも発生しないことがわかります。インターネット上でのパスワード変更に関するいわゆる提案については、オンラインバンキングモードを除いて、クレジットカードのオンライン決済にはパスワードが関係しないので、役に立ちません。

オンラインバンキング支払い: クエリパスワードがありません

クイック支払い: 携帯電話番号とSMS認証コードがありません

クイック支払いバインディング: 有効期限、携帯電話番号、SMS 認証コードが不足しています

UnionPay カード非提示支払い: 有効期限、携帯電話番号、SMS 認証コードが不足しています

電話注文: 有効期限がありません

デュアル通貨カードで海外ショッピング：有効期限がなく、一部のカードでは請求先住所の確認も必要。しかし、上級ネットワークセキュリティ担当者は、財産の紛失が発生していないという事実は、ユーザーのアカウントと銀行カード情報が安全であることを意味するものではないと述べた。ユーザーは、対応する銀行のカスタマーサービス番号に電話してカードの一時停止を申請するか、直接紛失を報告することをお勧めします。私の個人的な提案としては、Ctrip が最終的にこの事件をどのように処理するかにかかわらず、クレジットカード情報が漏洩したかどうかにかかわらず、カードを適時に交換するのが最善であるということです。私は一万のことを恐れているのではなく、一つのことを恐れているのです。結局のところ、財産の安全は自分自身に密接に関係する問題です。