继“酒店开房信息遭泄露”、“浏览器泄露用户隐私”等事件之后,“携程”又被爆有泄露用户银行卡信息风险。对此,携程方面称是公司在技术调试过程中出现短时漏洞。不过,业内专家则表示,并非低级技术错误这么简单,“存储了用户信用卡的CVV码,还泄露了,前一个是企业的基本道德问题,后一个是安全问题”。
漏洞报告平台乌云网22日公告指出携程安全支付日志可下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码等),有可能被黑客所读取。昨日携程方面承认是公司在技术调试过程中出现短时漏洞,目前没有出现恶意下载有关数据和用户信用卡被盗刷的情况,承诺未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。
记者调查也发现,携程违规超范围存储用户信用卡信息,而为了“征得”用户同意,部分网站则是以“常用卡”为名征存储用户的信息。有业内人士则指出,并非是低级技术错误这么简单,携程系统一直就能看到用户信息,虽然屏蔽了卡号却显示有效期和CVN2等信息。该事件也将令携程股价承压。
据了解,乌云网指出携程安全支付日志可下载,导致包含持卡人姓名身份证、银行卡号、卡CVV码等大量用户银行卡信息泄露,还被爆某分站源代码包可直接下载,涉及数据库配置和支付接口信息。
在该漏洞被爆出后,昨日有携程用户表示,为了以防万一对信用卡做了挂失处理,部分用户则是直接选择更换了卡片。携程方面表示,漏洞发现人做了测试下载,内容含有少量加密卡号信息,共涉及93名存在潜在风险的用户,目前已经全部删除。公司客服昨日开始通知用户更换信用卡。
携程方面承认,在技术调试过程中出现了短时漏洞,该漏洞受影响的用户为近期的部分交易客户,但经过排查没有出现恶意下载有关数据的情况。有分析指出,系统漏洞发生在21日和22日,在这两日使用信用卡支付的消费者可能存在风险。
事件发生后携程已经和各大银行联系核实,目前还没有出现用户信用卡被盗刷的情况。
“我们正在联合携程和各商业银行共同研究进一步解决措施。”银联资深风险专家王宇表示。
卡CVV码,是印在信用卡卡片上的一组检查码,用来验证信用卡,根据不同类型的卡而印于卡的正面或背面,对于银联组织的银联标准卡使用的称为CVN2。
质疑一:
并非低级技术
错误这么简单
对携程的解释,原Google技术总监胡宁认为,用户信用卡信息泄露并非犯低级技术错误这么简单,敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理,这都是常识。
乌云方面透露称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
有业内人士表示,问题是出在他们想把银行发出的验证信息都直接保存到本地。胡宁认为,根据事故报告,携程可能并未故意存储CVV信息,但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞,一步错,步步错。
质疑二:
超范围保留用户信用卡信息
有业内人士爆料称,在该漏洞爆出前携程系统里就已经能看到用户信息,虽然屏蔽了卡号却显示有效期和CVN2,“银联相关标准严格要求商户系统不得以任何方式存储这些银联卡片敏感信息,有了这些数据,可以轻易伪造在线支付交易,客户敏感信息和交易安全从何保证”。
对此,昨日携程方面回应称,公司对CVV的处理符合行规,与国内外主流电商网站相符,所留存的用户支付信息是经用户授权后保存的,利于用户日后的支付便捷,如果用户没有授权,携程将不予保存。
根据中国银联风险管理委员会发布的《银联卡收单机构账户信息安全管理标准》,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。由此可见,携程日志中存储的信息明显超过该标准的允许范围。汽车之家创始人李想则表示,“存储了用户信用卡的CVV,还泄露了,前一个是企业的基本道德问题,后一个是安全问题”。
质疑三:
以“常用卡”的名义存储用户信息
昨日,一家在线旅游网站人士表示,不少网站都会让用户勾选保留常用卡信息,消费者初次使用的时候需提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,然后提交支付,但第二次使用这张信用卡时,只需提供卡号后四位及CVV2码就会完成这次支付操作,这也变相证明了是在本地存储了用户的相关信用卡的信息。
记者登录携程也发现,在用户选择银行卡支付后,会提示用户是否保存至常用信用卡以便下次方便支付,但携程并未提示会记录信用卡的相关信息。
有业内人士表示,知道了CVV码和信用卡卡号就差不多能进行离线支付,泄露后风险很大,而且这种操作也会被银行视作是持卡人本人操作,部分盗取信息的人也可以用来注册购买其他产品服务。
多家银行表示
免费补办新卡
昨日,记者以顾客身份咨询多家银行的客服热线获悉,因携程事件而需要更换卡片的用户,多家银行均免费补办新卡。
招行客服人员表示:“如果是因为担心携程支付日志泄露的,我们可以免费补办卡。”据了解,该行如果办理卡片挂失补办信用卡的,收费是60元;如果是损坏补办的,收费是15元。该客服还表示,根据携程公布,目前有可能受影响的是3月21日与3月22日两天有交易的,“如果不是这两天消费的,是不用担心的,不会受影响。”客服说。
建行的客服人员也表示,如果是因为担心携程漏洞的,可以免费补寄新卡。
某银行相关负责人告诉记者,“此次信息泄漏是电商支付系统问题,涉事消费者最好、最安全的办法就是更换新卡。”
目前,银行业尚未发现用户信用卡被盗刷的情况。
消费提醒
昨日多家银行客服建议消费者可以考虑换卡或者冻结,近日在携程上使用信用卡交易过的有风险。部分消费者不愿意更换信用卡,应尽快修改相关银行卡密码等信息,出现异常应尽快联系银行、公司的官方客服电话。也应该设置网银单笔消费额度,开通短信提醒等以降低风险。用户信息被泄露后除了对财产安全造成影响外,消费者还需提防相关的诈骗短信。