攜程被曝泄漏用戶信用卡信息

2014-03-24

國內漏洞研究機構烏云近日披露攜程網存在安全漏洞,可導致用戶的信用卡信息被泄漏。攜程回應稱,此次漏洞并未引起用戶信用卡被盜刷情況。未來,如果因漏洞引起用戶損失,攜程將承擔全部責任并給予賠付。有消費者則擔心,如何界定信用卡被盜刷同攜程漏洞有關?

綜合

2014年3月22日,“攜程”被曝有泄露銀行卡信息風險,隨后該公司回應“已修復”且網站仍安全。繼“酒店開房信息遭泄露”“QQ用戶信息秒查”“瀏覽器泄露用戶隱私”之后,用戶隱私安全的敏感神經再一次被挑動。(新華社發 徐駿/圖)

3月22日,國內漏洞研究機構烏云(WooYun)平臺發布消息稱,知名在線旅行服務商攜程網存在安全漏洞,導致進行過支付活動的用戶姓名、身份證、所持銀行卡類別、卡號、CVV碼(用來驗證信用卡)、6位Bin(用于驗證支付信息的6位數字)等信息遭到泄露。

漏洞發現者稱,攜程將用于處理用戶支付的服務接口開啟了調試功能,使所有向銀行驗證持卡所有者接口傳輸的數據包均直接保存。而且,保存安全支付日志的服務器并未做校嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意黑客讀取。

消息一出,引起眾多網友熱議,不少攜程用戶擔憂自己信用卡被泄密,并表示要去換卡或注銷卡。

對此,攜程發布了多次聲明進行回應。3月23日16時許,攜程在其官微解釋稱,出現這樣的情況,是因為攜程的技術開發員之前為了排查系統疑問,留下了臨時日志,因疏忽未及時刪除,此次風險共涉及93名用戶,攜程已通知相關用戶更換信用卡。截至目前,沒有發生用戶信用卡被盜刷的情況。未來,如果因安全漏洞引用用戶損失,攜程將承擔全部責任并給予賠付。

雖然攜程官方將此次事件定義為一場意外的疏忽,但卻暴露出網絡支付存在風險隱患的現狀。汽車之家創始人李想表示,“存儲了用戶信用卡的CVV碼,還泄露了,前一個是企業的基本道德問題,后一個是安全問題”。

而來自銀行客服的信息顯示,受上述事件影響,已開始有消費者陸續向銀行要求換卡。

為何保存用戶CVV碼?

資料顯示,CVV碼是信用卡的驗證碼,它由一串3位數字,由卡號、有效期和服務約束代碼,經過發卡銀行的編碼規則和加密算法生成。根據信用卡卡種和印刷位置的不同,一般印于信用卡卡面、卡號后面。還有CVV2、CVC、CVC2碼等,只是因功能稍有不同叫法不同。泄漏信用卡CVV驗證碼,幾乎等于將銀行卡密碼告知對方,將有可能被第三方支付系統盜刷。

鈦媒體介紹,作為電商行業,在將cvv2等敏感信息提交到具體的發卡行之前,將其信息暫存是一種普遍做法,否則支付過程中無法將有效參數傳遞到發卡行。

騰訊科技介紹,一位銀聯技術負責人表示,目前支付主要有兩類,包括訂購類業務和普通互聯網個人業務,其中訂購類業務支付風險較高。

在進行互聯網消費的時候,實際上不同的業務會對消費行為進行不同限制。一般互聯網支付業務是需要用戶多種驗證的,比如會發送驗證碼短信,用戶需要手工輸入到頁面上完成支付,又或者通過網頁生成的動態密碼完成。

但是對于攜程這類訂購類業務的要求比較寬松,因為其能夠追蹤最終受益者。比如說,用戶購買了飛機票、火車票或者訂酒店,在最終使用的時候仍然需要身份證件作為輔助驗證手段,所以其在支付環節只需要信用卡的CVC碼等信息就可以完成交易。

但是,這并不代表商戶可以私自存儲用戶的信用卡CVV碼。

中國銀聯風險管理委員會2008年發布的《銀聯卡收單機構賬戶信息安全管理標準》要求:“各收單機構系統只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息,不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。”

根據PCI DSS(第三方支付行業數據安全標準)規定,不能保存不該存儲的“敏感信息”,CVV碼即是其中之一。因此,用戶在商戶提交信用卡支付成功后,商戶必須立即將CVV碼信息刪除;若提交信用卡支付未成功,商戶可以將CVV碼信息保存7天后清除。

而據《北京日報》報道,攜程方面則表示,按相關銀行的支付規定,攜程的部分銀行用戶交易時需提交CVV信息。用戶在線上線下信用卡下單時,系統會詢問是否保留相關信息,用戶同意授權的話,攜程會保存非CVV信息。未扣款成功的CVV信息會暫存7天,目的是降低用戶費力度和協助用戶便捷支付。如果用戶不同意授權,所有相關信息將在交易成功后立即刪除。如果是未扣款成功的交易,將在7天內刪除CVV信息。“攜程的做法,符合PCI-DSS(第三方支付行業數據安全標準)規定,攜程一直按照國際信用卡支付安全標準要求加密保存信用卡信息。”

銀行建議:相關用戶換卡或凍結

據攜程官方公告表示,此次漏洞并未引起用戶信用卡被盜刷情況。未來,如果因安全漏洞引起用戶損失,攜程將承擔全部責任并給予賠付。

不過,有消費者擔心,如何界定信用卡被盜刷同攜程漏洞有關?還有網友指出,即便現在信用卡沒有被盜刷,黑客還是可能把泄露的信息保存起來靜默一段時間再動手,而到時被盜刷的原因也很難判斷。

對此,多家銀行客服接受《廣州日報》采訪時,均表示,近日在攜程上使用信用卡交易過的信用卡存在風險,建議消費者考慮換卡或者進行凍結。出現異常應盡快聯系銀行、公司的官方客服電話。也應該設置網銀單筆消費額度,開通短信提醒等以降低風險。用戶信息被泄露后除了對財產安全造成影響外,消費者還需提防相關的詐騙短信。

招行客服人員表示:“如果是因為擔心攜程支付日志泄露的,我們可以免費補辦卡。”據了解,該行如果辦理卡片掛失補辦信用卡的,收費是60元;如果是損壞補辦的,收費是15元。該客服還表示,根據攜程公布,目前有可能受影響的是3月21日與3月22日兩天有交易的,“如果不是這兩天消費的,是不用擔心的,不會受影響。”客服說。

建行的客服人員也表示,如果是因為擔心攜程漏洞的,可以免費補寄新卡。

某銀行相關負責人告訴記者,“此次信息泄漏是電商支付系統問題,涉事消費者最好、最安全的辦法就是更換新卡。”

在國內旅游領域,酒店等信息泄露并非首次。2013年10月,國內安全漏洞監測平臺“烏云網”披露,自稱是中國最大的酒店數字客房服務商的浙江慧達驛站公司,因為安全漏洞問題,使與其有合作關系的大批酒店的開房記錄在網上泄露。數日后,一個名為“2000w開房數據”的文件出現在網上,其中包含2000萬條在酒店開房的個人信息,容量達1.7G。開房數據中,開房時間介于2010年下半年至2013年上半年,包含姓名、性別、國籍、民族、身份證號、生日、地址、郵編、手機、固話、傳真、郵箱、公司、住宿時間。

網絡編輯:瓦特

攜程 支付漏洞 CVV碼 信用卡 信息安全 盜刷

相關文章

{{ isview_popup.firstLine }}{{ isview_popup.highlight }}

{{ isview_popup.secondLine }}

{{ isview_popup.buttonText }}
午夜宅男在线,中视在线直播,毛片网站在线,福利在线网址