携程漏“底” 信用卡用户遭泄密恐慌

更多
来源:金羊网—民营经济报  发表时间:2014-03-25 16:56

记者 申海洋

“身份证、银行卡号、卡CVV码、6位卡Bin”都泄露了,您还Hold住?3月22日晚,乌云漏洞平台爆料,“由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。”

对此业内人士指出,行业基本道德问题和用户安全问题都被携程占全了,甚至一旦支付信息泄露漏洞,势必会引发信用卡盗刷。

携程一“泄”到底

乌云漏洞平台指出,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

事件发生后携程在公开表态“向用户诚恳道歉”,并称漏洞已修复,承诺愿意为未来因安全漏洞引起的用户损失承担赔付责任。携程还宣称,除了漏洞发现人做了测试下载且已删除外,没出现恶意下载的情况,其网站的信息安全没受到影响。

记者发现,在这份“申明”中,携程对泄密事件的一些细节却含糊其辞,没有直面其漏洞缺陷。为什么“将用户支付的记录用文本保存下来”?携程并未作出说明。

有意思的是,此前携程曾遭遇支付安全性的质疑,但当时携程一口咬定称“后台不会记录用户的支付信息”,而本次携程的“泄密”,可谓一“泄”到底。包括用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息都可能遭外泄,这无疑给其脸面来了一剂狠狠的巴掌。(卡CVV码,是印在信用卡卡片上的一组检查码,用来验证信用卡,根据不同类型的卡而印于卡的正面或背面,对于银联组织的银联标准卡使用的称为CVN2。)

原Google技术总监胡宁认为,用户信用卡信息泄露并非犯低级技术错误这么简单,敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理,这都是常识。

有资深网络安全人员表示,尚未造成财产损失并不意味着用户的账户及银行卡信息安全,建议用户拨打对应银行的客服电话申请停卡,或直接办理挂失。

谁偷走了CVV码?

在23日的回应中,携程表态:“公司对CVV的处理符合行规,与国内外主流电商网站相符,所留存的用户支付信息是经用户授权后保存的。”

但根据《银联卡收单机构账户信息安全管理标准》显示,银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素,并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

本次携程遭遇曝光,无疑直指其顶风作案。业内人士认为,携程行业巨头,又是上市公司,居然也在安全问题上犯这样的低级错误,只能说没有把用户的利益放在第一位,同时也反映出当前中国互联网界整体安全意识淡薄的现状。

汽车之家创始人李想表示:“交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。而存储了用户信用卡的CVV,还泄漏了,前一个是企业的基本道德问题,后一个是安全问题。”

根据中国人民银行发布的《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。

李想强调:“携程存了无论如何也不该存的CVV,这相当于把你信用卡的密码存储并泄漏了。需要输入CVV和存储CVV是两个概念这时候还帮着携程说话的,就是典型的被卖了还帮着数钱的。”

截至目前,携程申明称已经将漏洞修复完成,而且官方表示会通知存在安全风险的相关用户更换信用卡。

七成网民加强警惕

尽管携程宣称因漏洞安全所引发的损失进行赔付,但这并没有打消人们对安全的疑虑。业内人士指出,毕竟客户的银行账户遭受了损失,对携程的业务具有重大影响,不仅会遭受经济损失,还可能会损害其信誉以及客户忠诚度。

携程漏洞事件只是冰山一角。随着网银账户、支付宝等第三方支付账户的流行,越来越多的不法分子通过各种手段盗取银行账户资金,这也让不少人对银行卡里的钱产生了“不安全感”。金山毒霸安全专家李铁军表示,当前移动支付正在起步,一旦出现大面积的安全问题,对全行业将是致命的打击,同时对用户的损失也是不可估量的。

有网友指出,感觉包括携程支付在内的很多互联网公司都太不安全,连CVV码都能被记录被泄露,这网络支付哪里有安全,传统支付方式落伍但起码安全有保障。

不少用户表示担心给银行卡带来安全隐患,不愿意在携程绑定银行卡,要求解绑;还有的用户直接挂失银行卡,更换新卡。近七成被调查者表示以后网购在线支付会提高警惕。

随着越来越多的企业记录用户的隐私信息、银行卡信息等,企业应当意识到,用户隐私信息是个“烫手的山芋”,一旦获得必须做到妥善保管、严密自查。中国银联风险专家建议,持卡人在选择支付产品与服务时,应兼顾便捷性与安全性,而近期在携程使用过的信用卡持卡人,尽快与发卡银行取得联系,根据银行建议采取进一步措施。同时,面对支付产业的新变化,产业各方也应加大支付创新,加强开放合作,共同打造安全支付生态环境。

编辑: 小鱼
金羊网—民营经济报