您所在的位置:中国台州网 > 宽频新闻 > 热点 新闻热线:88516001 88516281
点我与飞信联系
携程被曝漏洞 可致信用卡信息泄露
2014年03月24日  09:48:00  星期一  中国台州网

“我已把信用卡挂失了,银行服务人员知道此事件严重性,当我致电询问时,立刻劝我挂失换卡号。你们谁在携程刷过卡的也抓紧换吧。”热播剧《金太狼的幸福生活》编剧娟子昨日的这段话,足以反映携程用户们有多恐慌。

前日晚间,国内漏洞研究机构乌云平台曝光称,携程系统开启了用户支付服务接口的调试功能,包括信用卡用户的身份证、卡号、CVV码等信息可能被任意黑客窃取。此报告一出,一石激起千层浪。很多携程用户赶紧到银行解除绑定信用卡。携程昨天最新回应称,乌云所曝信息系此前技术人员未删的临时日志,已在两小时内修复,并已通知93名潜在风险用户更换信用卡并适当补偿,尚未发现携程用户信用卡被盗刷情况。

用户:用携程信用卡泄密?

“一大早刚开机,就收到我爸妈和朋友十几条短信,全是问我绑定携程的信用卡有没有被盗刷。”昨天上午,在一家英语培训机构做讲师的李瑞来到招商银行崇文门网点更换信用卡。他记得,第一次用信用卡在携程网买机票时,需提供信用卡卡种、卡号、有效期、CVV码等完整信息,此后再买的话,只需提供卡号后四位及CVV码就能支付了,“当时我光想着便捷,但没想过携程会储存我的信息,一旦泄露,我可就悲剧了”。

让李瑞紧张的是乌云平台的最新报告。前日晚间,乌云通报称,携程将用于处理用户支付的服务接口开启了调试功能,信用卡用户的身份证、卡号、CVV码等信息有可能被任意黑客读取。

携程是目前国内最大的在线旅游预订机构,这一漏洞消息立即炸开了锅。知名编剧六六也在个人微博上表示:“携程应出详细情况说明,哪些用户受到影响须换卡,还是全部用户,范围有多大。以及风险发生的原因及应对措施,未来还会发生吗?这些问题不解答,用户会紧张。”

携程:让潜在风险用户换卡

风口浪尖的携程选择了积极回应。乌云曝出漏洞后,携程很快回复称,经技术排查在两个小时内修复了漏洞。可能受影响的是3月21日和22日的部分交易客户,将会持续更新调查情况。

昨天下午,携程公布的最新回应表示,经查,这一泄密信息是携程的技术人员此前为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息被全部删除。

那么,这些信息有没有被黑客窃取?携程称,仅漏洞发现人做了少量的测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户,携程昨天已通知他们更换信用卡,并补偿每人500元礼品卡。“截至23日22时,没接到携程客服换卡通知的用户,个人信息均是安全的,无需担心。”

携程还通报称,已和各银行核实确认,并没出现用户信用卡被盗刷的情况。“携程对所有用户信息安全全权负责,如因此产生任何风险及损失,携程将全额赔付承担。”携程方面称,携程还设立了总额500万元的信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。

“携程的官方回复不准确。”广西易搜科技有限公司CEO严茂军对记者说。他是携程的钻石级会员,绑定了三张信用卡。2月25日,其中两张双币种信用卡在卡不离身的情况下被盗刷十几笔。携程客服当时明确说系统绝对安全。“被盗刷了约一万多元人民币。因是白金卡用户,银行给我72小时盗刷赔偿,我自己没损失。携程的安全漏洞也许早就存在了。”不过,记者暂时无法证实严茂军说法的真实性。

疑问:为何保存用户CVV码?

携程的回应并没法平息用户们的质疑。很多用户在携程官方微博下面发问,为什么要存贮用户的CVV等信息?

什么是CVV码?业内人士介绍,信用卡信息主要包含卡号、有效期、CVV码等,其中打印在卡片签名区的3位CVV码又被称作“第二密码”,掌握着该卡的交易授权,即只要提供正确的CVV码,就能完成支付环节。

中国银联风险管理委员会《银联卡收单机构账户信息安全管理标准》要求:“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”

“交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,小时工还知道了关于你家所有的信息。”汽车之家创始人李想第一时间在新浪微博上表示,携程存了无论如何也不该存的CVV码,这相当于把用户信用卡的密码存储并泄漏了。这属于企业的基本道德问题。

昨天下午,携程方面回复称,按相关银行的支付规定,携程的部分银行用户交易时需提交CVV信息。用户在线上线下信用卡下单时,系统会询问是否保留相关信息,用户同意授权的话,携程会保存非CVV信息。未扣款成功的CVV信息会暂存7天,目的是降低用户费力度和协助用户便捷支付。如果用户不同意授权,所有相关信息将在交易成功后立即删除。如果是未扣款成功的交易,将在7天内删除CVV信息。“携程的做法,符合PCI-DSS(第三方支付行业数据安全标准)规定,携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。”

专家建议

用户也可开通短信提醒

中国旅游研究院行业分析师杨彦锋对记者说,目前未发现盗刷案例,表示该漏洞利用的情况不大。但携程的错在于不该存储CVV码。携程在付款过程中需要记录并转发给银行接口用户信息,但是记录日志,破坏了安全性。他建议,如果是近期使用过信用卡支付、卡额度或余额高的携程网用户,建议换卡,也可开通消费短信提示服务,这样及时了解信用卡的消费信息。“这一事件,会造成客户对携程的信赖感下降,尤其是对高端商旅客户的信赖感有影响。”

 
来源:新华网    责任编辑:雍昕
台州日报 台州晚报 台州商报
  精彩图片

探秘不可思议的全球沉 ...

超萌小狗围炉取暖

第86届奥斯卡红毯直击

18岁最萌年龄差兄妹走红
  分类信息
·小微信贷 ·旧印报机处理 ·农行招聘 ·频道对外合作
·经济普查公告 ·浙江骄傲 ·治堵公益动画 ·台州人保
·机票打折 ·台州福彩 ·收藏 ·台州移动
·明星机双雄,火力来袭! ·天翼3G手机节火热进行中 ·招聘启事 ·中信银行台州分行诚聘
24小时排行 一周排行
 
  热点专题
·台州降下30年罕见大冰雹
·台州市第九届农民文化节
·实干英雄谱
·2014春节
·五水共治 志在必胜
·2014台州两会
·2014台州党代会
·浙江吹响“五水共治”集结号
·中国梦 我的中国梦
·全国百家网站寻找追梦人
  论坛热帖
·【关注】临海找回散落民间明朝墓碑
·3月24日 台州段高速公路的施工信息
·横峰街道办事处前面的广场如此惨相
·台州市英雄联盟大赛万元大奖等你拿
·丈夫开着燃油助力车载着妻子闯红灯
·新河某村王某倒车 2岁女童被撞身亡
·新曙光观影团3月观影活动 报名参加
·世外桃源 这是温岭最清澈最干净的河
·台州女老师扮男人 骗走宁波女孩12万
·网友原创连载:当铺,一个时代的印记
  视频推荐

罕见冰雹横扫台州 公...

黄岩一塑料厂发生大 ...
·泰国:大选被判无效 红衫军集会抗议
·我军机在澳大利亚珀斯方向展开首次搜寻
·米歇尔更新日志:长城令人激动人心
·澳发现疑似物体 搜寻海域海底地形复杂
·米歇尔访华 开启中美外交新模式
·明星扎堆海外办婚礼 自我营销好方法
·美国历届第一夫人中国之旅趣事多
·罕见冰雹横扫台州 公众抱怨灾害气象预警缺位
中国台州网版权与免责声明:
① 凡本网注明"稿件来源:中国台州网(包括台州日报、台州晚报、台州商报)"的所有文字、图片和音视频稿件,版权均属中国台州网所有,任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发表。已经本网协议授权的媒体、网站,在下载使用时必须注明"稿件来源:中国台州网",违者本网将依法追究责任。
② 本网未注明"稿件来源为中国台州网(包括台州日报、台州晚报、台州商报)"的文/图等稿件均为转载稿,本网转载出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。如其他媒体、网站或个人从本网下载使用,必须保留本网注明的"稿件来源",并自负版权等法律责任。如擅自篡改为"稿件来源:中国台州网",本网将依法追究责任。如对稿件内容有疑议,请及时与我们联系。
③ 如本网转载稿涉及版权等问题,请作者在一周内速来电或来函与本网联系。
X关闭