携程“支付漏洞”风波只是虚惊一场?
杭州网  发布时间:2014-03-24 07:29   

携程“支付漏洞”风波只是虚惊一场?

新华社 制图

    携程支付日志曝出安全漏洞引发用户恐慌

    昨日携程正式致歉:若用户发生损失,将全额赔付

    昨晚,微博微信上的一条信息被疯转:“各位注册过携程的,在携程用信用卡支付过的,赶紧关掉信用卡网上支付吧,出大事了……”、“携程安全支付日志可便利下载导致大量用户信用卡信息或泄露”、“电话打到招商银行,客服告诉我关于携程的事只有这两天有影响,已经修好了漏洞,无需再换卡”……一时间,携程网“信用卡门”被推向了舆论的风口浪尖。

    携程,你到底怎么了?

    事件回放:乌云漏洞平台披露携程网安全漏洞

    3月22日傍晚6点多,互联网漏洞报告平台乌云网发布了一则重磅消息——携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被任意骇客读取。

今日推荐阅读
·杭州治堵办回应“杭州汽车限牌”,称无此消息
·彩虹快速路开通3个月了什么时候能和时代大道连通?
·清明节长途汽车票开卖 用支付宝买还能拿红包
·廖凡陆毅昨天在杭“拼”了
·杭州主城区16条重点道路的老旧水管明年底前全部更新

    根据乌云的报告,漏洞泄露的信息包含用户姓名、身份证号码、银行卡号和类别、卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)、6位卡Bin(用于支付的6位数字)。换句话说,拥有了以上信息,就能完成整个上网的支付流程。

    消息发布没过多久,携程网“信用卡门”就成为了口耳相传的热点话题。不少网友联系银行客服要求更换信用卡。“携程出了事以后,刚挂失完两个工行的,建行处理起来还比较麻烦,95533人工占线,三张在携程用过的银行卡准备全部注销!”网友“拐—五洞”说。

    知名IT评论员“炳叔”调侃道:“感谢乌云——漏洞报告平台啊,炳叔终于感受到了携程五星级神速客服。(贫僧吐槽,携程在手、说走就走、走的最快是密码,1分钟之内,携程客服就神回复了)公关比程序员水平高,点个赞吧。”

    携程致歉:没有泄漏用户信息,如有损失愿承担责任并赔付

    3月23日早上7点多,携程在其官方微博上发布声明:“对于乌云平台发现的漏洞信息,携程非常重视。消息一经传出,我们连夜彻查,并在两小时内修复了这个漏洞。据排查,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响。事件发生后,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。”

今日推荐阅读
·今夜杭州阴雨模式启动 可能持续整整一周
·杭城七大公墓扫墓服务,请看这里
·莱特币遭绞杀火币网称会赔偿
·太子湾樱花怒放 八卦田油菜花渐欲迷人眼
·破解一根豆芽菜难倒几个部门的尴尬 杭州组建市场监督管理局

    在携程第一时间承认“安全漏洞”存在的同时,仍有客户在质疑“漏洞”是怎样产生的?携程方面称:“由于其技术人员之前为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前这些信息已全部删除。”

    同时,携程网杭州分公司负责人向记者表示,仅漏洞发现人做了测试下载,内容包含极少量加密卡号信息,共涉及93名存在潜在风险的携程用户,并于昨天通知了相关用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。携程网杭州分公司表示,“只要没有接到携程客服换卡通知的用户,其个人信息均是安全的,无需担心。未来,如果因安全漏洞引起用户损失、携程将承担全部责任并给予赔付。”

    各界声讨:携程记录支付数据行为遭质疑

    记者查阅了银联2008年发布的《银联卡收单机构账户信息安全管理标准》,根据标准的2.1条,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期;另据标准8.1条,各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

    那么,携程为何会保留用户信用卡背面的CVV信息呢?

今日推荐阅读
·杭州上千人利用手机App做兼职代驾 行业监管还是“真空”
·最有设计感的猪舍 临安有人这样搞有机农业
·杭州已进入春雨期 4月的雨量是1月的两倍
·咕咚一声宝宝落水 陌生游人救人后快闪
·西湖边爬山不过瘾,那就跑山吧!

    携程网杭州分公司相关负责人表示:“携程按照相关银行的支付规定,部分银行用户交易时,需提交CVV信息。用户授权后,携程会保存非CVV信息。未扣款成功的CVV信息会被暂存7天,目的是为了降低用户费力度与协助用户便捷支付。若用户未授权,所有相关信息在交易成功后将立即删除。未扣款成功的交易,将在7天内删除CVV信息。携程的做法,符合PCI-DSS(第三方支付行业数据安全标准)规定。携程对所有用户信息安全全权负责,如果因此产生任何风险及损失,携程将一律全额赔付承担。携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。”

    “技术人员为了排查系统疑问,留下临时日志,因疏忽未及时删除”而造成“安全漏洞”,无疑是凸显了携程在“技术”和“管理”两个层面的隐患。未来携程如何保障用户的信息安全呢?

    携程网杭州分公司相关负责人表示,为了更好地保障用户及网站的安全,未来一定杜绝此类人为因素。另外,携程将广邀信息安全卫士,一起来加固系统信息安全。上周,携程已经建立安全应急响应中心,共设立了总计500万的信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。同时,携程将邀请国际知名信息安全认证机构,来共同保障用户的个人信息安全。

来源:今日早报  作者:记者 王枫林  编辑:高婷婷
返回
3月22日傍晚6点多,互联网漏洞报告平台乌云网发布了一则重磅消息——携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被任意骇客读取。