第20版:中国新闻·聚焦
  3上一版 4下一版  
 
版面导航

第01版
导读

第02版
新闻评论

第03版
重点新闻
 
标题导航
携程存漏洞,93名用户换卡
2014年03月25日
 上一期    下一期 
返回潍坊新闻网
3 上一篇   下一篇4
放大 缩小 默认
携程存漏洞,93名用户换卡
  CFP供图



系技术人员未删临时日志遭黑客读取,尚未发现被盗刷情况
  3月22日18时许,国内漏洞研究机构乌云平台称,携程系统开启了用户支付服务接口的调试功能,包括信用卡用户的身份证、卡号、CVV码等信息可能被任意黑客窃取。携程方面23日回应称,乌云所发布的信息系此前技术人员未删的临时日志,已在两小时内修复,并已通知93名潜在风险用户更换信用卡并适当补偿,尚未发现携程用户信用卡被盗刷情况。
客户信息遭泄露
  3月22日晚间,乌云漏洞平台发布消息称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取。
  报告并称,漏洞所泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码等。该漏洞说明通俗的理解是说,携程将银行卡数据包保存在本地,同时支付日志存在安全漏洞,数据信息可以被陌生人下载。
  在该漏洞被曝出后,部分携程用户表示对信用卡做了挂失处理,一些用户则称直接选择更换卡片。22日晚,携程方面承认漏洞的确存在,表示其已立刻展开技术排查,并在2小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
有风险用户换卡
  携程经过排查结果显示,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。3月22日晚至23日,携程方面通知存在潜在风险的93名用户更换信用卡,称银行方面也会尽快协助用户办理换卡手续。此外,携程旅行网给予这93名用户每人500元礼品卡作为补偿。
  携程方面声称,截至23日22时,其他没有接到携程客服换卡通知的用户,个人信息是安全的。未来如果因安全漏洞引起用户损失,将承担全部责任并给予赔付。

业内人士 超范围保留用户信用卡信息
  据了解,携程是国内具有一定规模的在线旅游服务企业,消费者可以通过电话或者互联网在携程网预订国内外酒店、机票以及旅游产品可享受一定的折扣优惠。值得关注的是,在携程预订旅游产品,部分产品需要在线全额支付或者预付款才能生效。此前,曾出现过客户在线预付款但是携程直接从银行卡扣款的情况。
  其实早在2010年,携程便与多家银行达成无卡支付服务协议,根据协议,如果用户的该张信用卡是首次在携程网使用,则在支付生效前需要客户提供全部的信用卡授权所需信息。如果客户已在携程网使用过该张信用卡,且为了方便下次预订,同意携程网保留其信用卡卡号和有效期等信息,则在其下次预订时只需提供所存信用卡的卡号后4位,携程网就会根据其当初保留在系统中的信用卡授权信息,执行支付步骤;出于安全考虑,携程网会要求客户额外提供CVV码加以验证。
  业内人士称,携程没有支付牌照,按规定是不允许存储用户银行卡信息,尤其是CVV码。“交易网站存CVV码,相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。”汽车之家创始人李想说。
  23日下午,携程方面回复称,按相关银行的支付规定,携程的部分银行用户交易时需提交CVV信息。携程的做法,符合第三方支付行业数据安全标准规定。据了解,携程合作的银行包括工商银行、中国银行、招商银行、浦发银行等十余家,第三方支付机构包括支付宝、财付通、银联在线等。
名词解释
  CVV码是指印在信用卡卡片上的一组检查码,是进行网络和电话交易时的安全保障,属于高度机密的用户信息。掌握着该卡的交易授权,即只要提供正确的CVV码,就能完成支付环节。
◎声音
需监管部门介入
  业内分析人士坦言,随着互联网金融、在线支付的深入渗透消费生活,用户重要信息在线被使用、银行卡在线付款过程中存在的安全隐患将会进一步浮出水面。而目前国内还没有相关立法对第三方支付机构获取用户信息进行规范管理。
  中央财经大学银行研究中心主任郭田勇认为,携程泄露用户信息事件暴露出部分第三方支付机构风险管理存在隐患,建议有关部门尽快出台保护个人隐私的法律法规,同时对泄露客户信息的机构进行处罚,严把第三方支付的“安全阀”。
  尽管携程网及时回应了公众质疑,但公众的担忧似乎并未消减。公开信息显示,到事发为止所有的调查和损失认定工作均由携程网一方进行,并未引入第三方监管机构。
  业内专家称,移动互联网应用的迅猛发展将助推在线旅游服务“蛋糕”越做越大,但市场盘子做大了,其中的问题便会更多。此次携程泄露用户信息反映出在线支付行业不仅要加强行业自律、更需要监管部门强力介入,亟待通过出台明文法规、进行合规性、合法性检查的方式将在线支付纳入到行业监管的大局之下。
  中央财经大学银行研究中心主任郭田勇说,行业监管不是“一刀切”,在线支付涉及金融数据安全,对潜在的风险及早做出评估,对相关企业的职业操守及时做出规范,将有利于行业的健康发展,保护金融消费者的合法权益。
◎建议
可开通短信提醒
  中国旅游研究院行业分析师杨彦锋对记者说,目前未发现盗刷案例,表示该漏洞利用的情况不大。但携程的错在于不该存储CVV码。携程在付款过程中需要记录并转发给银行接口用户信息,但是记录日志,破坏了安全性。他建议,如果近期使用过信用卡支付、卡额度或余额高的携程网用户,建议换卡,也可开通消费短信提示服务,这样及时了解信用卡的消费信息。“这一事件,会造成客户对携程的信赖感下降,尤其是对高端商旅客户的信赖感有影响。”
       本报综合报道

3 上一篇   下一篇4
放大 缩小 默认
 
报社简介 网站简介 版权声明 新闻登载许可 广告业务 联系我们
 
鲁ICP备10207392号 版权所有 [潍坊报业集团] 潍坊新闻网络传媒有限公司
地址:潍坊市奎文区文化路500号 邮编:261031 电话:0536-8196033