AD
回应:如因此造成财产损失将赔偿;部分网友称要“告别”
#携程信用卡门#
前晚,国内知名漏洞报告平台乌云公布了携程支付系统漏洞,即携程安全支付日志可下载,导致大量用户银行卡信息可能泄露,包含持卡人姓名、身份证、所持银行卡类别、银行卡号、卡CVV码、6位卡Bin(用于支付的6位数字)。漏洞发现者称由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意黑客读取。对此,携程方面在经过两小时紧急排查后第一时间表态,可能受影响的为3月21日与3月22日的部分交易客户,但目前尚未发现因相关问题导致信息泄露及造成财产损失;在后续的网络安全核查中,如有用户因此漏洞造成财产损失,携程将予以赔偿。钟禾
乌云
银行卡信息或被黑客读取
据乌云平台称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。乌云方面的报告称,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),上述信息有可能被黑客所读取。
据了解,乌云是一个位于厂商和安全研究者之间的安全问题反馈平台,此前多次发布国内企业信息系统的技术漏洞,推动企业进行漏洞修复。
携程
尚未发现信息泄露及损失
对此,携程方面前晚间表示,在得知该消息后,公司即展开了技术排查并在消息发布两个小时内修复问题。携程称,对于乌云平台发现漏洞信息表示感谢,并将对于提供漏洞信息者给予奖励。对于此次漏洞事件,如有新进展,携程将持续通报。
同时,携程表示,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的核查工作,如果有用户因该漏洞造成财产损失,携程将赔偿损失。
据了解,目前多家银行已接到部分曾在携程进行过支付的用户的换卡申请。据知情人士表示,此次携程所泄露的银行卡信息已足以用于信用卡复制、克隆,风险等级很高,建议更换相关银行卡。
不少市民关心,若信息泄露该如何向携程提出理赔?据知情人士表示,在还未发生损失的情况下,用户难以向携程提出维权要求。
影响
用户被建议及时换信用卡
携程旅行网作为在线旅游市场份额最大的服务商之一,上述漏洞的影响范围也较为庞大。对此,新浪微博认证为“MediaV CTO,原Google技术总监”的网友“胡宁”说,用户信用卡信息泄露,并非犯低级技术错误这么简单。敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识。她认为,携程应该做的是立即提醒被影响用户换卡、道歉并赔偿用户因此导致的任何损失。
记者在中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》中看到规定:各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。
另有分析认为,此次漏洞问题将对携程的品牌有所影响。部分微博网友就表示,将因此与携程“告别”。也有网友建议,应该立刻更换信用卡。
