携程遭超长宕机:内部数据管理恐存严重漏洞
新浪科技-李何冉
“支付宝瘫~支付宝瘫~支付宝瘫完携程瘫~携程瘫~携程瘫~携程瘫完A股瘫~A股瘫~A股瘫~A股瘫完天台瘫”——网友用“萝卜蹲”游戏的方式调侃了 5 月 27 日到 5 月 28 日发生的大事。
自 28 日 11 时起,携程网及 APP 陷入瘫痪状态,3 小时后相关服务并未恢复,情急之下携程在首页上挂出了“正在紧急修复中...您可以访问:艺龙旅行网”的字样。
遗憾的是,28 日 17 点开始,艺龙旅行首页网也无法正常访问,但网站其它页面及功能暂时正常,好在半小时后,艺龙首页就恢复了正常访问。但携程就没有那么好运,直到 28 日约 22 时 45 分,携程网及 APP 开始恢复正常服务。
按照携程一季度财报公布的数据,携程宕机的损失为平均每小时 106.48 万美元,结合携程本次宕机时间约 12 小时,其直接损失已经超过 1277.76 万美元。
修复过程中或再遭攻击
对于本次携程宕机的原因也是众说纷纭,网上有传言称,携程全线酒店数据库遭到了物理删除。另有疑似携程员工聊天记录显示,目前携程发布系统仍然 无法使用,数据仍然被持续删除中。但纽约时报专栏作家李成东在微博上表示,携程正在重建缓存,估计 3 小时内回复,原因据说是内部离职员工报复。
360 安全专家林伟也表示,携程被删除的代码经过 8 小时还没有恢复,有可能是在重新上线的过程中遭遇攻击者的阻碍,影响了服务恢复的进度。否则在有备份的情况下,代码和数据一般能在 1 小时内恢复,当然也不排除是高级管理权限的内部人员所为。
猎豹移动安全专家李铁军也认为,携程服务中断极有可能是内部管理失控导致,通常黑客从外部攻击很难做到数据大量丢失,且备份还原不至于拖延太久,“黑客入侵往往只是悄无声息地拿走核心数据,一般不会进行破坏性操作”。
腾讯安全专家分析称,根据目前官方透露的信息判断,携程网站数据层、网络层均没问题,那么问题就在应用层或存储逻辑层。很可能关键性的系统部署和配置数据已被删除或篡改了。
不过,前支付宝运维团队创始人智锦撰文指出,携程网宕机很可能并非遭遇攻击或者数据被内部员工删除,最大的可能是误操作,“运维人员在使用 pssh 这样的批量操作执行修复漏洞的脚本时,无意中写错了删除命令的对象,发生了无差别的全局删除,所有的应用服务器和数据库服务器都受到了影响”。
互联网经历黑色 5 月
携程的宕机并非个案,仅 5 月份,国内就出现了网易、支付宝、携程 3 起互联网服务宕机事件,虽然 3 起事件的原因更不相同,但反馈到用户的均是产品服务受到极大的影响,一些甚至威胁到了财产安全。
在全球范围内,由互联网引发的安全问题也是频繁出现。Verizon 最新发布的 “2015 数据泄露调查报告”显示,2014 年事件调查中,影响的组织覆盖 95 个国家,其中有 61 个报告了问题,涉及 79790 个安全事件,超过 2 千条确认的数据泄露,500 强企业中超半数曾遭受过黑客攻击,SONY(索尼公司)、APPLE(苹果公司)、JPMORGAN CHASE(摩根大通银行)等机构都曾上榜。
“此类安全事故对所有企业来说都会带来惨痛的教训”,林伟表示,用户是互联网公司最宝贵的财富,停止服务会对用户造成严重损失,长时间网站瘫痪也会导致用户流失。对于企业,更应该关注明天是否还会继续出现类似事故,加强自身的数据管理和安全防护,防患未然。
李铁军称,预防网络安全事件发生,一方面需要严格的权限管理(内控)和灾难预防,另一方面还要注意备份,能在意外发生后短时间内恢复。由于近期互联网重大事故频发,互联网的安全性、应急能力(包括但不限于关键业务的热备容灾等),正在接受检验,建议企业做好安全自查。
对于普通用户,腾讯安全专家建议,遇到此事不要过于恐慌,可紧密关注官方回应,如遇信息泄露,必要时可修改银行支付密码,以免造成经济损失。
律师说法
携程本次瘫痪毕竟对用户造成了损失以及后续可能造成的信息丢失或信息泄露问题,对此知名互联网行业律师赵占领表示,携程与用户之间通过注册协议 成立服务合同关系,携程有义务采取必要的安全和技术措施保障服务和用户的信息安全。如果本次事故是内部人员所为,说明携程网内部存在管理问题,没有尽到安 全管理责任,应承担相应的民事责任,赔偿用户损失。
“如果本次事故是外部攻击造成,需要看携程方面是否采取了基本的技术措施来保障信息的安全,有没有尽到安全保障义务,如果是由于携程方面存在安 全和技术漏洞,携程需要承担相应的法律责任”,他进一步称,“如果携程在现有技术条件下已经尽到安全保障义务,但是仍被攻击,则携程方面不存在过错,不需 要赔偿用户”。
对于携程而言,赵占领表示,无论是内部人员所为还是外部攻击,造成携程本次网络瘫痪的人员都涉嫌刑事犯罪。
根据《中华人民共和国刑法》第二百八十六条破坏计算机信息系统罪相关条款,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。