携程被曝存“支付漏洞” 93名用户已被通知换卡

发布时间:2014年03月24日         来源:和讯

3Gweb_3Gweb服务器

         央广网北京3月24日消息(记者韦雪)据中国之声《新闻纵横》报道,漏洞报告平台“乌云网”,22号在官网上公布消息称:“携程网”安全支付日志存在漏洞,用户银行卡信息会被黑客任意读取,大量用户银行卡信息泄露,其中就包含持卡人姓名身份证、银行卡号等,该漏洞已经过携程确认。不过,昨天(23号)下午,携程网也发布了回应表示,共有93名用户的支付信息存在潜在风险,已经通知更换信用卡,并给与相应补偿。

         携程被曝支付日志漏洞

        现在购物、订票、甚至吃饭都可以通过互联网实现交易,面对越来越普遍、多样的网上支付手段,我们的信息安全又该如何保证?“携程”面对这次网络安全事故,有将如何解释?

        主动披露携程存在漏洞的是乌云漏洞平台,这个位于厂商和安全研究者之间的安全问题反馈平台,在22号公布的信息显示,“由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取”。

        360首席隐私官谭晓生这样分析,携程在调试过程中出现的漏洞。

        谭晓生:他这次犯得错误,他调试的时候把这个东西存下来了,存这一步本身潜在来说就是存在问题的,像cvv码之类的东西是特别敏感的信息,尽可能不要存它,哪怕是调试过程中都不要存它。第二个就是他存的东西放到了一个别人从外部能够访问的(地方)。他和现实生活中这种情况很类似,他把这个信息记下来了,又没把它放好,又让别人能读到这些信息,问题是出在这。

        携程称在消息发布两小时内修复了问题

        乌云漏洞平台公布的信息也得到了携程方面的确认。携程发布声明表示,这是携程旅行网在技术调试过程中出现的短时漏洞。携程网的一位负责后台安全的工作人员这样回复:

        携程工作人员:昨天也反馈了,主要这个漏洞发生在3月21号-3月22号期间,可能部分交易的客户,有相应的问题可能发生,当然我们目前也没有排查到有黑客入侵的情况,可能盗取信息。

        携程方面表示,他们已经在消息发布的两个小时内修复了问题,“尚未发现因相关问题导致客户信息泄露以及造成损失的情况发生”,如有用户因为该漏洞造成财产损失,“携程将进行全部赔偿”。

        携程工作人员:携程这边最大的保证就是,如果后续安全漏洞造成财产损失,我们将进行全额赔付,对无法去核实的问题,我们后台可以去进行核查。网络安全的核查工作是由携程可以去核查,银行这边也可以去核查,您的信用卡的每一笔盗刷记录,您在银行都是可以查到从哪里盗刷,什么时间,什么样的相关记录,都是可以查的到的。

        携程网这次被曝出的漏洞,被归类为“敏感信息泄露”,被认为可能会导致大量携程用户持卡人姓名身份证、银行卡号、银行卡背后的CVV码、6位卡Bin等信息外泄。携程的一位工作人员解释,这些信息是在用户首次消费时记录的。

        携程工作人员:因为您首次在携程支付的时候会输入携程卡号,信用卡有效期,以及您的cvv卡号,那么携程在进行预授权扣款,下一次进行网上输入的时候只需要输入信用卡后四位,所以您之前输入的信息会被自动的保存在您的信用卡账户当中。

        携程存储用户cvv码做法遭普遍质疑

        而根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。而携程的日志中存储的信息已经超过了这一标准的允许范围。其中,银行的cvv码被认为是无卡购物的最后一道防线,信息一旦遭到窃取,足以被用于信用卡盗刷,携程存储用户cvv码的做法遭到了普遍的质疑。

        360首席隐私官谭晓生:他作为卡的验证手段,可以让用户输入,输入完了之后,他应该找相应的卡中心,来进行验证,在整个交易过程中,这个数据是不应该做持久化存储的,就不应该存下来,他可以用,但不能存。

        对此,携程旅行网后台的一位工作人员这样解释。

        携程工作人员:我们是一个网络支付平台,作为一个支付平台,需要cvv码来进行验证的,当然我们也需要客户告诉我,我们才进行验证。

        记者:(存储cvv码)这算是违规么?

        携程工作人员:这个具体的话,我们目前来说我们没有接到这方面的反馈。

        记者:之后你们还会记录这个cvv码么?

        携程工作人员:最后我们会根据这个事情给所有的公众一个答复,目前,我们的系统也正在排查问题,到底是因为什么导致的这样一个情况。所以最终我们还会有一个官方回复,并不是说这个事情就这样结束了。

        如今,网上消费网上支付已经深入亿万用户的生活。随着用户群的爆炸性增长,网络支付、移动支付成为了越来越多人选择的支付手段。而互联网支付的安全问题也更加受到关注。面对越来越普遍,越来越多样的网上支付手段,用户的信息安全又该如何保证?

        作为综合性的旅行服务公司,携程网主要提供包括无线应用、酒店预订、机票预订、旅游度假、商旅管理及旅游资讯在内的旅行项目,有超过1.4亿的会员用户。这次被曝出支付漏洞,尤其是记录了包括信用卡cvv码在内的隐私信息,引发了不少人对于网上支付安全的担忧。

        谭晓生:他这个洞其实是两个洞,比如说他的日志从外部可以读取的洞,我相信肯定是补了,但是他存cvv码这样的事情,内部是不是处理我们现在不得而知,这其实是很危险的。[page title= subtitle=]

        部分携程用户连夜申请取消信用卡

        不少携程的用户在看到消息之后,选择连夜向银行申请取消信用卡。招商银行(600036,股吧)信用卡中心的一位工作人员介绍,由于这两天换卡的用户较多,有可能会影响到用户按时收卡。

        招商银行工作人员:很多客服都遇到了这个问题,因为是突发事件,可能对我们的制卡也造成一定的压力。一般一个星期之后才能收到卡,一般在邮寄方面都会有时效的影响。

        360首席隐私官谭晓生认为,携程被曝出存在泄漏信息的漏洞,这一事件只是孤例,不能就此认为互联网支付不安全。

         携程被曝支付日志漏洞

        谭晓生:不仅仅是网上支付,所有的支付方式都没有百分之百的安全,绝对安全是没有的,在线支付相对来说还是安全的,企业来说,对于用户隐私和敏感信息的保护要有足够的意识。

        在谭晓生看来,携程的信息漏洞问题也提醒各互联网公司应该更加重视用户的隐私信息保护,应有专人来负责用户的隐私保护。

        谭晓生:这次体现出来携程对用户隐私的管理是有比较大欠缺的,如果涉及到用户敏感信息的企业,我觉得,要有专人来负责这件事。这个事情的专业化程度是比较高的,他其实涉及到法律的问题,技术的问题,在企业内部没有相关的制度和规定,让他们知道并且监督他们执行,没有这样的机制很难去约束他们。

        除此之外,谭晓生呼吁,相关部门也应加强监管,尽快建立起针对互联网泄露隐私的监督和惩罚机制。

        谭晓生:有关部门要履行和管理的职能,比如这次cvv码的事情,银行的管理机构他们对这种在线支付之类的是不是应该有更加强制的机构,甚至有处罚?



 

在您的网站
被黑客攻击或
被挂马之前
,

升级换代到 3Gweb®
自我防御

Web
服务器

 


image