AD
日前,乌云漏洞平台发布消息称,携程系统存技术漏洞。消息一出,国内在线旅游市场份额最大服务商便引起关注。更有网友已经对相关信用卡做出处理。此次安全漏洞涉及银行卡,专家建议用户申请停卡或办理挂失。
22日晚间,乌云漏洞平台发布消息称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时,因为保存支付日志的服务器未做严格的基线安全配置,存在目录漏洞,导致所有支付过程中的调试信息可被任意黑客读取。
漏洞报告显示,泄露的信息包括用户的持卡人姓名、持卡人身份证、所持银行卡类别、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin(用于验证支付信息的6位数字)。
当日凌晨,携程技术人员确认漏洞,并在两小时内修复。携程方面表示,经排查,漏洞发现人做了测试下载,内容含少量加密卡号信息,共涉及93名存在潜在风险的携程用户。携程客服于昨日通知相关用户更换信用卡。经各银行反馈,截至记者发稿,没有发生携程用户信用卡被盗刷的情况。针对此事,携程公开承诺,未来如果因安全漏洞引起用户损失,携程将给予赔付。
尽管如此,还是有很多网友相互提醒和询问,“有没有携程信用卡”、“快点去注销所有在携程用过的信用卡”、“招行已经开通携程上相关信用卡注销换卡的绿色通道”。目前,微博上已有用户称对相关信用卡进行了挂失、注销等处理。此外,也有行业内人士认为,“存储了用户信用卡的CVV码,还泄露了CVV码。前一个是企业的基本问题,后一个是安全问题。有些信息可以存,有些信息无论如何也不能存。携程存了无论如何也不该存的CVV码,这相当于把你信用卡的密码存储并泄露了。”
记者观察
谨防银行卡被盗刷
尽管该事件没有引发用户财产损失的情况发生,不过,据一位不愿透露姓名的安全专家介绍,尚未造成财产损失并不意味着用户的账户及银行卡信息安全,建议用户申请停卡,或直接办理挂失。根据乌云漏洞平台提供的信息来看,携程违反了银联此前禁止记录CVV码的规定。“此次安全漏洞涉及用户的银行信用卡。举例来说,黑客很可能通过用户的手机号码、银行卡号和CVV码注册第三方支付账号,从而跳过用户和银行绑定的手机,进行盗刷。”
如果信用卡号、姓名、有效期、CVV码落入攻击者手中,可以用来注册国内外任一家服务网站,特别是国外,如果刚好是双币信用卡,购物只需要点击确认即可完成支付。而在无卡支付的环节,只需要提供卡号和这三个验证码就能完成支付,银行会默认是用户自己在POS机上刷卡消费。
安全专家指出,一般消费需要密码,也可以是签名,但CVV码会被视为密码或签名。“你外出消费,要是被服务员记录下这些数据,服务员就可花你的钱。”专家建议,注意检查信用卡账单和消费短信,如果发现异常,及时联系银行,以减轻损失。如果已确定发现信用卡交易异常,怀疑信用卡信息泄露,可选择关闭信用卡网上支付功能,或者联系银行注销信用卡。
本组撰文 见习记者 马雨彤 漫画 张宇尘
