3月22日晚,一家名叫“乌云”的网站漏洞报告平台发布公告,称在线票务服务公司
携程网存在
支付漏洞,在携程网用信用卡支付,顾客姓名、身份证信息 、银行卡卡号、CVV2码等信息都会被保存在携程网本地服务器,且有可能被泄露,给客户信用卡盗刷埋下隐患。3月23日携程网为漏洞信息致歉,称事发后两小时内已经修复漏洞,发现93名顾客信息疑似泄露,并承诺若用户出现损失将全额赔付。对此专家解读认为,一旦出现类似情况,消费者想保障自己的信用卡安全,只能换卡。
漏洞可导致信用卡盗刷
“通过信用卡支付的携程网用户姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码等信息已有可能被黑客所读取。”3月22日下午18时18分,乌云漏洞平台发布了这样一条消息。
中国银行青岛分行一名业内人士表示,信用卡信息主要包含卡号、有效期 、CVV2码,其中卡片签名栏的3位 CVV2码又被称作“第二密码”,乌云平台提到的“CVV码”实际上应该准确地称之为“CVV2码”,该代码掌握着该信用卡的交易授权,只要提供正确的CVV2码,就能完成支付。
3月 23日,记者打开携程网网站,选择了一张机票进行支付,发现通过电脑进行网上支付时,只需要在对话框内输入信用卡卡号和卡号背面签名栏的后三位数字,就可以完成支付,这也就意味着用户在不知道信用卡支付密码的情况下,就可以进行消费。
若用户损失将全额赔付
3月 22日晚10时许,携程回复公众称,携程技术人员已经确认该漏洞,并在两小时内修复,对于乌云平台发现的漏洞信息表示感谢。23日,携程致歉并承诺,未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。
针对携程网信用卡用户遇到的潜在风险,记者采访了携程网青岛地区负责人高先生,高先生回应称,漏洞是由于公司技术开发人员排查系统疑问时未及时删除临时日志而产生的,目前,这些信息已被全部删除。他还表示,漏洞信息没有遭到黑客的恶意下载,所出现的下载记录,是漏洞发现人做了测试下载时留下的,共涉及93名存在潜在风险的携程用户。
携程网客服于3月23日通知这93名相关用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。截至3月 23日晚上10时,没有接到携程客服换卡通知的用户,个人信息均是安全的。
岛城一位经常通过携程网购买机票出差的白领周先生是携程网的忠实用户,他一直担心:“在携程网上的交易是不需要输入支付密码的,那一旦我的信用卡丢失,他人是否可凭我的卡在携程网进行消费吗?”对此,携程网客服人员表示,如果客户对这种不用密码就可以支付的方式不放心,可以改用储蓄卡支付。
建议挂失规避风险
奇虎360首席隐私官谭晓生称,用户去任何一个网站输入了信息,都会上送到服务器,这些信息包括银行卡号、密码等等,如果想故意获取用户信息,这对于网站自身来说是一个非常简单的技术。如果用户的信用卡信息真的被黑客窃取,那么就算解除了信用卡与网站之间的绑定,也不能阻止黑客用窃取的信用卡信息去其他网站消费,根据携程网目前用户活跃度来推算,每天通过携程网支付的用户大约有10万,他认为在3月22日该网站被爆出漏洞之前一星期内通过携程网支付的客户都有存在信息泄露的可能。遇上这种情况,用户该如何规避风险呢?谭晓生给出的答案非常坚决,他称只能迅速挂失换卡,以保护用卡安全。
事实上中国银联风险管理委员会早已在2008年发布《银联卡收单机构账户信息安全管理标准》,规定各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。由此,谭晓生建议用户,在每次支付之前,应该仔细阅读一下“用户使用条款”或者“隐私权条款”。
■短评
不要再挑战“信任的底线”
3月22日,“携程”被爆有泄露银行卡信息风险,随后该公司回应“已修复”且网站仍安全。继“酒店开房信息遭泄露”“QQ 用户信息秒查”“浏览器泄露用户隐私”之后,用户隐私安全的敏感神经再一次被挑动。用户疑问,我们的隐私安全与信任还经得起多少个“携程”事件?
安全企业奇虎360首席隐私官谭晓生说,如果网站为了提升用户支付体验,选择记录CVV 等信息,那么,网站一定要明确告知,并获得消费者许可。一旦记录了这些信息,企业就一定要妥善保管,并按约定及时销毁,不做他用 。
实际上,从2013年开始,陆续有“信息秒查”“隐私曝光”“泄露资料”等新闻见诸媒体。不少案例中,当事企业均表示没有发生泄露,消费者也只能相信企业说法。公众困扰、担忧最终也不了了之。长此以往,消费者的信任度、忠诚度难免受到影响。“陆续有互联网信息安全隐患被曝光,说明部分企业并没有把用户隐私和数据安全放在很明确的位置,安全意识不足。”谭晓生指出,随着越来越多的企业记录用户的隐私信息、银行卡信息等,企业应当意识到,用户隐私信息是个“烫手的山芋”,一旦获得必须做到妥善保管、严密自查。 据新华社记者 曹凯杰
(来源:半岛网-半岛都市报)
