AD
金陵晚报见习记者 马乐 金陵晚报记者 杨艺
3月22日晚间,乌云漏洞平台发布消息称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取。漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码等。
虽然3月23日,携程官方发布携程支付安全声明,但银率网分析师昨日告诉金陵晚报记者,对于携程客户来说,目前最安全的方式只有换卡,因为换卡后,信用卡卡号和CVV码变更,黑客即便拿到持卡人此前在携程上的信息也不会造成风险。
昨日,记者从南京各家银行客服获悉,已有消费者陆续向银行要求换卡,携程安全漏洞引发一场换卡潮。
银行:
未接到客户被盗刷申告
昨日,记者咨询南京多家银行获悉,因担心携程事件而需要更换卡片的用户可免费换卡,也有部分银行表示会收取少量挂失费。多家银行的工作人员提醒持卡客户最好开通短信提醒,随时注意检查信用卡账单和消费短信,如果发现异常,及时联系银行和携程方面,以减轻损失。
招行客服人员表示,多位客户打来电话询问换卡事宜。
建行的客服人员表示,如果是因为担心携程漏洞的,可以免费补寄新卡。
中行客服人员告诉记者,持卡人可以免费挂失补发新卡。新卡将变更持卡人卡号及背面CVV号码。通过电话提出换卡申请后一周时间,持卡人就可以收到新卡。该工作人员还表示,目前虽然有很多持卡人会电话咨询关于用卡安全的问题,但真正更换卡片的用户还比较少。因为信用卡可能涉及其他关联设置,更换新卡后确实有诸多不便。
记者采访中了解到,银行尚未接到客户的被盗刷申告。
携程:
承担93位客户换卡费用
携程表示,经过核实,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有出现有用户信用卡被盗刷的情况。携程承诺,未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。
携程南京公司公关经理在接受金陵晚报记者采访时表示,携程将全部承担这93名潜在风险用户换卡的费用。截至记者发稿,南京公司目前还未接到承担这部分客户的换卡费用的通知。
如何界定携程用户未来可能出现的损失是由携程安全漏洞引起?该公关经理表示,携程会联合公安、银行等部门,从客户的消费习惯、地点、金额等方面进行分析核查。对于因携程安全漏洞导致的损失,携程将承担全部责任并给予赔偿。
有业内人士表示,携程声明中声称没有用户出现被盗的情况,但还是通知用户去换卡,只能说明心虚。一旦用户的信用卡被盗刷,如果要想投诉携程,恐怕携程也不太可能承认,如果承认将会出现更大危机,而用户也无法找到任何证据说明自己信用卡被盗刷是因为携程的原因。所以携程关于“倘若发生安全漏洞并引起用户损失,携程将给予全额赔付”的承诺只是一句漂亮的空话而已,在具体落实的层面是极难操作的。
携程“漏洞门”银行也有责
根据携程网的支付流程,用户在携程绑定信用卡后,初次使用需要提供信用卡卡种、卡号、有效期、CVV码等一系列完整信息,第二次在携程网使用同一张信用卡时,只需提供卡号后四位及CVV码就可以完成支付操作。这意味着,只要知道用户持有的信用卡卡号和卡验证码的任意一人,就可以用来消费。
对此,银率网分析师向金陵晚报记者指出,这种模式引发的信息安全问题,银行一方也脱不了关系。
这位分析师指出,就此事向某银行客服询问,这家银行客服回复称,携程是银行的合作商户,双方都建立了一套有效的安全防范措施,只要用户自己不泄露信用卡信息,就不会发生盗刷。可见,携程等商户是与银行达成了合作关系,得到了银行的授权,即银行向商户提供便利,允许其在用户不提供信用卡支付密码、查询密码的前提下,实现支付。
记者获悉,部分商户违规存储用户信息的现象由来已久。其实不止携程网一家,艺龙网、芒果网等在线订票网站也都存在违规存储用户信息卡信息的问题。马乐
第三方支付风险管理有隐患
业内人士表示,携程没有第三方支付牌照,按照规定是不允许存储用户银行卡信息,尤其是CVV码。而上述调试接口,通常是携程需要和合作公司调试时才打开,数据包通常会有多种加密功能,即便被下载也很难破译。
“需要输入CVV码和存储CVV码是两个概念。有些信息可以存,有些信息无论如何也不能存,携程存了无论如何也不该存的CVV码,这相当于把你信用卡的密码存储并泄漏了。”汽车之家创始人李想说。业内人士坦言,随着互联网金融、在线支付的深入渗透消费生活,用户重要信息在线被使用、银行卡在线付款过程中存在的安全隐患将会进一步浮出水面。而目前国内还没有相关立法对第三方支付机构获取用户信息进行规范管理。新华社
