叶亚明万万没有想到,他在携程网大干快上的技术改造升级给其OpenStack团队造成巨大压力。这位携程网新任技术副总裁自上任始,便对整个技术构架进行大刀阔斧的改革。
成也萧何,败也萧何
乌云漏洞平台上披露的一则信用卡支付“漏洞”,让雄心勃勃的叶亚明绊了个大跟头。这个漏洞散列是:bf9165488f5e2ea3ca02ec6b310446b0。
虽然在此前,乌云网已经连续披露京东商城、支付宝、网易等国内著名互联网企业在用户信息安全防护中存在高危漏洞。然而,此次对于携程漏洞的详细描述——“通过信用卡支付的携程网用户姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码等信息已有可能被黑客所读取”挑起了公众的敏感神经。
对于信用卡的这个“惊天漏洞”此前已陆续有媒体曝光,在线OTA网站无卡无密码支付也是行业通病,但却使携程落马了。
携程的技术研发部和信息安全部在业界颇具声名,完全自建的携程IT系统包括网站系统、在线交易系统、采购系统等子业务系统,从复杂性上来说,能与之媲美的唯有淘宝。
但关键是技术研发部与信息安全部之间存在微妙的博弈关系,携程的漏洞表面上源于部门员工偶然的失误,实际则是OTA(在线旅游代理)企业恶性竞争的必然结果。
他们的解释
在线旅游市场群雄逐鹿,占有市场份额最大的携程作为先行者一度领跑,过着一家独大的好日子。然而,随着艺龙、去哪儿等竞争对手的崛起,其龙头地位早已岌岌可危。商业模式上,携程依然仰仗着十几年前创业之初确立的呼叫中心带来业务量,而老对手艺龙早已在革命,砍掉线下发卡渠道全力发展线上销售。
而携程依然按兵不动,直到叶亚明的出现。
作为OTA行业的老大,经过十多年的发展,携程逐步构建出自己的护城河——强大的IT系统。而这个核心部门一直以来颇为神秘,理财周报(微信公众号:Money-week)记者辗转找到内部人士也拒绝媒体采访。理财周报记者遂多方打听,试图揭开其鲜为人知的一角。
携程的IT系统复杂且庞大,完全靠内部一步一步搭建。叶亚明到任后,在携程完成了几次重要的技术改进。据中国软件开发联盟CSDN公开资料显示,携程技术改造升级分别布局于前后端。在网站前台进行页面改版,后台以Open API(开放应用程序编程接口)的方式开放平台资源,同时成立数据中心进行大数据处理。
云技术只是叶亚明的小试牛刀,他更大的野心在对公司技术架构的革新,目前的携程已经采用OpenStack这一云计算平台来搭建。
他在布一个长远的局。
在叶亚明眼中,无线端的业务增长速度在未来将会远远超过呼叫中心。在新的架构下,可以将实体机器完全虚拟化。比如增加300个人,产生300个虚拟机器就可以了,虽然人数增加,但管理机器的数量没有变化,这就会提升效率。
可以想见,如果这一切都万无一失的话,这堪称叶亚明在携程的伟大战役。
但是,理财周报记者查阅中国软件开发联盟CSDN的公开资料时发现,携程的OpenStack团队总共加起来不到二十人,其中核心技术人员只有六七名,相比庞大的呼叫中心和无线端业务人员可谓九牛一毛。
千里之堤,毁于蚁穴。
就是这个搭建了庞大系统的部门,不久前却因技术人员操作不谨慎,被黑客抓住把柄。
3月22日下午,乌云漏洞平台发布消息称,携程系统存在技术漏洞,可导致用户个人信息、银行卡信息等泄露。当晚11点,携程技术人员对漏洞进行确认。23日早上7点,携程官方消息称漏洞已经修补。
据乌云网的说法,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
而携程公关部针对事件原因接受理财周报记者采访时表示:“漏洞是携程技术人员在对某个服务器进行系统问题排查时,留下临时日志未及时删除所致。”
关于技术排查,相关网站技术人员对理财周报记者进行了详细描述:“所有网站在这一点上都是类似的,网站技术人员会定期对每个服务器进行扫描,主要为了发现潜在的漏洞,并进行修补。这种扫描,有些网站由自己完成,也有会通过第三方机构扫描,由他们出具漏洞清单和修补意见。”
这种扫描漏洞的部门又称为信息安全部或者是风险控制部门,在携程内部有独立的信息安全部门专门负责漏洞扫描和排查工作,但此次的漏洞却为第三方平台乌云网所发布。
携程公关部对此向记者表示:“这部分信息也是处于加密状态,即使拿到信息也要通过破解才能读取。”这对黑客而言并非难事。
与此同时,理财周报记者致电另一家OTA企业,在其网站支付时与携程一样无卡无密即可成功。其CEO表示:“我们不是明文保存的,我们是加密保存的,携程这个案例我们也看了,但具体情况不是很清楚。”对于当时未付款的客户信息,也没有规定保存客户敏感信息7天,具体也是由研发和审计法务的风控部门负责。