携程被曝泄漏用户信用卡信息
国内漏洞研究机构乌云近日披露携程网存在安全漏洞,可导致用户的信用卡信息被泄漏。携程回应称,此次漏洞并未引起用户信用卡被盗刷情况。未来,如果因漏洞引起用户损失,携程将承担全部责任并给予赔付。有消费者则担心,如何界定信用卡被盗刷同携程漏洞有关?
3月22日,国内漏洞研究机构乌云(WooYun)平台发布消息称,知名在线旅行服务商携程网存在安全漏洞,导致进行过支付活动的用户姓名、身份证、所持银行卡类别、卡号、CVV码(用来验证信用卡)、6位Bin(用于验证支付信息的6位数字)等信息遭到泄露。
漏洞发现者称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存。而且,保存安全支付日志的服务器并未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意黑客读取。
消息一出,引起众多网友热议,不少携程用户担忧自己信用卡被泄密,并表示要去换卡或注销卡。
对此,携程发布了多次声明进行回应。3月23日16时许,携程在其官微解释称,出现这样的情况,是因为携程的技术开发员之前为了排查系统疑问,留下了临时日志,因疏忽未及时删除,此次风险共涉及93名用户,携程已通知相关用户更换信用卡。截至目前,没有发生用户信用卡被盗刷的情况。未来,如果因安全漏洞引用用户损失,携程将承担全部责任并给予赔付。
虽然携程官方将此次事件定义为一场意外的疏忽,但却暴露出网络支付存在风险隐患的现状。汽车之家创始人李想表示,“存储了用户信用卡的CVV码,还泄露了,前一个是企业的基本道德问题,后一个是安全问题”。
而来自银行客服的信息显示,受上述事件影响,已开始有消费者陆续向银行要求换卡。
为何保存用户CVV码?
资料显示,CVV码是信用卡的验证码,它由一串3位数字,由卡号、有效期和服务约束代码,经过发卡银行的编码规则和加密算法生成。根据信用卡卡种和印刷位置的不同,一般印于信用卡卡面、卡号后面。还有CVV2、CVC、CVC2码等,只是因功能稍有不同叫法不同。泄漏信用卡CVV验证码,几乎等于将银行卡密码告知对方,将有可能被第三方支付系统盗刷。
据钛媒体介绍,作为电商行业,在将cvv2等敏感信息提交到具体的发卡行之前,将其信息暂存是一种普遍做法,否则支付过程中无法将有效参数传递到发卡行。
据腾讯科技介绍,一位银联技术负责人表示,目前支付主要有两类,包括订购类业务和普通互联网个人业务,其中订购类业务支付风险较高。
在进行互联网消费的时候,实际上不同的业务会对消费行为进行不同限制。一般互联网支付业务是需要用户多种验证的,比如会发送验证码短信,用户需要手工输入到页面上完成支付,又或者通过网页生成的动态密码完成。
但是对于携程这类订购类业务的要求比较宽松,因为其能够追踪最终受益者。比如说,用户购买了飞机票、火车票或者订酒店,在最终使用的时候仍然需要身份证件作为辅助验证手段,所以其在支付环节只需要信用卡的CVC码等信息就可以完成交易。
但是,这并不代表商户可以私自存储用户的信用卡CVV码。
中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》要求:“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”
根据PCI DSS(第三方支付行业数据安全标准)规定,不能保存不该存储的“敏感信息”,CVV码即是其中之一。因此,用户在商户提交信用卡支付成功后,商户必须立即将CVV码信息删除;若提交信用卡支付未成功,商户可以将CVV码信息保存7天后清除。
而据《北京日报》报道,携程方面则表示,按相关银行的支付规定,携程的部分银行用户交易时需提交CVV信息。用户在线上线下信用卡下单时,系统会询问是否保留相关信息,用户同意授权的话,携程会保存非CVV信息。未扣款成功的CVV信息会暂存7天,目的是降低用户费力度和协助用户便捷支付。如果用户不同意授权,所有相关信息将在交易成功后立即删除。如果是未扣款成功的交易,将在7天内删除CVV信息。“携程的做法,符合PCI-DSS(第三方支付行业数据安全标准)规定,携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。”
银行建议:相关用户换卡或冻结
据携程官方公告表示,此次漏洞并未引起用户信用卡被盗刷情况。未来,如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
不过,有消费者担心,如何界定信用卡被盗刷同携程漏洞有关?还有网友指出,即便现在信用卡没有被盗刷,黑客还是可能把泄露的信息保存起来静默一段时间再动手,而到时被盗刷的原因也很难判断。
对此,多家银行客服接受《广州日报》采访时,均表示,近日在携程上使用信用卡交易过的信用卡存在风险,建议消费者考虑换卡或者进行冻结。出现异常应尽快联系银行、公司的官方客服电话。也应该设置网银单笔消费额度,开通短信提醒等以降低风险。用户信息被泄露后除了对财产安全造成影响外,消费者还需提防相关的诈骗短信。
招行客服人员表示:“如果是因为担心携程支付日志泄露的,我们可以免费补办卡。”据了解,该行如果办理卡片挂失补办信用卡的,收费是60元;如果是损坏补办的,收费是15元。该客服还表示,根据携程公布,目前有可能受影响的是3月21日与3月22日两天有交易的,“如果不是这两天消费的,是不用担心的,不会受影响。”客服说。
建行的客服人员也表示,如果是因为担心携程漏洞的,可以免费补寄新卡。
某银行相关负责人告诉记者,“此次信息泄漏是电商支付系统问题,涉事消费者最好、最安全的办法就是更换新卡。”
在国内旅游领域,酒店等信息泄露并非首次。2013年10月,国内安全漏洞监测平台“乌云网”披露,自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。数日后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。开房数据中,开房时间介于2010年下半年至2013年上半年,包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间。
网络编辑:瓦特