AD
新华 图携程被曝存支付漏洞
泄漏用户银行卡信息
本报讯 22日,乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄漏。对此,携程当日晚间表示,已进行技术排查和修复。如用户因此产生损失,携程将赔偿。
乌云
银行卡信息或被黑客读取
据乌云平台称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。乌云方面的报告称,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),上述信息有可能被黑客所读取。
据了解,乌云是一个位于厂商和安全研究者之间的安全问题反馈平台,此前多次发布国内企业信息系统的技术漏洞,推动企业进行漏洞修复。
携程
若用户发生损失将全额赔付
对此,携程方面22日晚间表示,在得知该消息后,公司即展开了技术排查并在消息发布两个小时内修复问题。携程称,对于乌云平台发现漏洞信息表示感谢,并将对于提供漏洞信息者给予奖励。对于此次漏洞事件,如有新进展,携程将持续通报。
同时,携程表示,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的核查工作,如果有用户因该漏洞造成财产损失,携程将赔偿损失。
23日下午,携程工作人士表示,此次漏洞共涉及93名存在潜在风险的携程用户,23日内客服会通知相关用户更换信用卡。但对于为何保存用户信用卡CVV码等信息,携程方面没有回应。
影响
用户被建议及时更换信用卡
携程旅行网作为在线旅游市场份额最大的服务商之一,上述漏洞的影响范围也较为庞大。对此,新浪微博认证为“MediaV CTO,原Google技术总监”的网友“胡宁”说,用户信用卡信息泄漏,并非犯低级技术错误这么简单。敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识。她认为,携程应该做的是立即提醒被影响用户换卡、道歉并赔偿用户因此导致的任何损失。
另有分析认为,存储用户CVV是不合理的,此次漏洞问题将对携程的品牌有所影响。晚间,部分新浪微博网友就表示,将因此与携程“告别”,也有网友建议,使用信用卡在携程上进行过支付的消费者,应该立刻更换信用卡。
律师
携程保存客户信息违反银联规定
“携程及时声明承担赔偿责任值得认可”,上海鼎力律师事务所孙建中律师表示,但携程保存客户信息属于违反银联的规定,如果将客户资料出售则涉及违法;另外,从《消费者权益保护法》看,其技术手段未尽到保护消费者的义务。
根据银联2008年出台的《银联卡收单机构账户信息安全管理标准》,银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素,并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。
孙建中直言,此次漏洞事件中曝出携程保存用户银行卡信息,这个做法欠妥,“这更多的是考虑经营者自身的经济利益,而不是站在为客户服务的角度”。 (新京)
