AD
3月22日18时18分,漏洞报告平台乌云(WooYun)曝光携程支付日志存在安全漏洞。恰逢传统金融业与互联网金融激烈博弈之际,事件也再次拷问了网络支付的安全问题。
携程方面针对此事给用户造成的困扰发表致歉。携程网的回复中称,“3月22日晚已展开技术排查并在消息发布两小时内修复问题。9名潜在风险用户已被通知换卡,其余携程用户用卡安全不受影响。事件发生后,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。携程郑重承诺,未来,倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。”
违反“禁止记录CVV”规定?
根据乌云的报告,漏洞泄露的信息包括用户持卡人的姓名、身份证号、银行卡类别、银行卡号、银行卡CVV码(即由卡号、有效期和服务约束代码生成的3位或4位数字),以及银行卡6位Bin(用于支付的6位数字)。也就是说,黑客若有了这一套信息,就能盗用用户账户。事件发生当晚,携程方面确认了这一“安全漏洞”的存在。
针对乌云的爆料,质疑声转向了 “携程违反了银联此前禁止记录CVV的规定”。据记者了解,CVV即银行信用卡背后的三位验证码,在“无卡支付”环节,只需提供卡号及此三位验证码就可完成支付。
“携程在事件中有责任,信用卡CVV码不应该保存在本地平台。携程在付款过程中需要记录并转发给银行接口用户信息,但是记录日志,破坏了支付安全性。”旅游界资深人士爱游观察负责人郑荣锋向记者表示,相信此次事件对携程的品牌和信誉度已经造成影响,特别是长期以来对携程服务有依赖性的商旅客户。
作为敏感的隐私泄密事件,这次事故在微博和微信等社交平台产生了大量的转发传播。尤其近期传言国家将对互联网金融的发展作出限制,这次事件对于“支付宝们”不是好消息。
劲旅咨询CEO魏长仁亦分析指出,“这个事件肯定会影响消费者对携程的信任度。因为现在基本全部的机票款,部分酒店,旅游度假和其他更多类型产品都需要在线支付。这个事件一定会促使携程对用户信息安全问题更加重视。”
93名用户已安排换卡
3月23日,对于平台漏洞致使用户信用卡信息泄露问题,携程网发布公告,表示漏洞已经修复,而可能存在风险的只有93名携程用户,已经安排换卡。
但据银行客服反映的信息,携程网的公告安抚可能收效甚微。工商银行(601398,股吧)某客服人员告诉记者,23日打电话要换卡的人很多,“我自己就接了10个左右”。至于费用方面,该客服人员表示,换卡要收取20元手续费,马上可以办理。
招商银行(600036,股吧)客服人员告诉记者,“没有必要因为这个换卡”,并反复强调银行方面已经排查过风险,“如果确实要换,挂失费用60元。”
某股份行信用卡部管理人员崔先生告诉记者,事实上银行很难完全杜绝信用卡信息泄露,“我们有一个部门专门负责监控,但没有办法完全杜绝,因为银行自己也需要这方面的信息才能完成网上交易,不能排除被黑客截获破解的可能。”
银联资深风险专家王宇表示:“从目前披露的情况看,携程方面可能存在一些瑕疵。我们一直在积极推动相关机构严格落实相关要求,商户及收单机构不能留存持卡人的敏感信息,同时也要采取多种措施提升交易环节的信息安全管理。”
尽管其他网站并未暴露与携程网一样的风险,但大数据时代的网络信息安全还是受到拷问。据悉,携程已建立安全应急响应中心,并设立了信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。此事也给当前火热的网络支付以及大数据安全蒙上阴影。
