携程“漏洞门":"大数据"呼唤"大安全”

  互联网将人们带入了大数据时代,大数据被称为未来的信息“金矿”。这些数据的价值越来越被重视,无数双眼睛正窥视着这笔无形的资产。

  “携程在手,说走就走。”看似轻松的广告语背后,却隐藏着信用卡泄密的风险。3月22日晚,全国知名票务服务公司、在美国纳斯达克上市的携程旅行网遇上了一片“乌云”。据国内漏洞报告平台乌云披露:携程旅行网支付日志存在漏洞,用户银行卡信息可被黑客任意读取。

  中国互联网信息中心调查报告显示,2013年我国网购用户规模已达到3.02亿人,参与网购的用户数还在呈现爆炸性增长。每天我们都要和形形色色的网站打交道,携程事件再次拨动公众敏感神经:

  你曾经在多少家网站上留下过多少信息?这些网站会不会滥用抑或不慎泄露这些信息?这次携程也许只是不慎开启了信息可能被泄露的“潘多拉之盒”,可是,如果有些网站故意为之甚至盗用这些信息,岂不是轻而易举?这些信息被泄露后,将给我们带来怎样的损失?……一系列问题在等待答案。

  22日,乌云漏洞平台发布消息称,携程旅行网支付日志存在漏洞,或导致大量用户银行卡信息泄露。携程随后确认存在这一漏洞,并发声明表示,有93名用户存在安全风险。虽然携程表示漏洞已经修复,但这一安全事件仍引发诸多质疑。有专家表示,携程保存客户银行卡信息的做法违反银联的规定。

  携程存储用户银行卡信息 被指违反银联规定

  据了解,此次携程漏洞可使包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin泄露。据了解,CVV即 Card Verification Value,是由卡号、有效期和服务约束代码生成3位或4位数字,一般写在卡片磁条2磁道用户自定义数据区里面。无需密码支付的方式也叫信用卡“离线交易”,仅凭卡号、CVV码等信息即可完成支付。专家提醒,CVV安全码相当于信用卡“第二密码”,需妥善保管。

  针对携程此次漏洞,新浪微博认证为“MediaV CTO,原Google技术总监”胡宁称,用户信用卡信息泄露,并非犯低级技术错误这么简单,“敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识”。

  金山毒霸安全专家李铁军接受中新网IT频道采访时称,从目前携程和乌云公布的资料来看,携程用户隐私的泄露过程还并不能完全肯定,但是结果造成的用户安全风险是非常大的。“除了被盗刷的可能,了解用户这些信息后还可以创建第三方支付账号,绑定信用卡实现境外购物。”据了解,信用卡有一种支付功能为离线支付,这种支付方式只要知道了用户的基本信息和CVV代码后就可以实现支付。

  据多家媒体报道,此次漏洞在于携程记录了用户的CVV代码。上海鼎力律师事务所孙建中律师表示,携程保存客户信息的做法违反银联的规定,从《消费者权益保护法》看,其技术手段未尽到保护消费者的义务。财新传媒总编辑胡舒立也指出,携程不是第三方支付机构,无权保留银行卡信息。

  另一方面,PCI-DSS(第三方支付行业数据安全标准)规定了不允许存储CVV,但携程支付页面称通过了PCI认证,同样令人费解。

  安全专家:被记录过CVV代码的用户都必须换卡

  携程在声明中表示,“截至23日22时,没有接到携程换卡通知的客户,个人信息均是安全的,无需担心。”携程表示,目前有93人账户存在安全风险,并承诺未来如果因安全漏洞引起用户损失,携程将承担全部责任并给与赔偿。

  但是这份声明或并没有打消用户的担心,不少携程用户在微博表示“必须换卡”。 据了解,作为国内在线旅游市场份额最大服务商,携程日均酒店预订、票务预订等业务量以十万计。不少网友表示,这样大规模的一家企业,即便是如携程所表示仅21日、22日的部分交易客户存风险,难道仅仅是93位吗?

  另一方面,怎么界定信用卡被盗刷同携程漏洞有关也是一个问题。网友@舞剧3D称,携程所谓赔付的承诺根本不可信,因为你根本无法举证信息泄露与携程有关。还有网友指出,即便现在信用卡没有被盗刷,黑客还是可能把泄露的信息保存起来静默一段时间再动手,而到时被盗刷的原因也很难判断。“如果信用卡被用此种方式盗刷,维权也很困难,因为银行会认为是本人持卡在执行这些操作。”李铁军表示。

  有业内人士指出,从目前来看,最为保险的做法是“换卡”。但是哪些用户有换卡的必要呢?是否携程所有用户都必须换卡?“从目前携程和乌云披露的信息中并不能确定是否所有携程用户信息都被泄露,但是只要被记录过CVV的用户就必须更换信用卡。”李铁军表示。

  携程安全隐患可能并未根本解除

  经银行反馈,目前并没有发生携程用户写用卡被盗刷的情况。但事情似乎并不这么简单。

  据多家媒体报道,此前已有携程用户对于携程支付安全提出质疑,携程回应称携程采用的信用卡支付方式符合国际惯例,且公司内部有足够的风险把控能力。微博实名认证为广西易搜科技有限公司CEO的严茂军在微博上表示,“早在2月25日就致电过携程我绑定携程的几张信用卡被盗刷十几笔外币的事件,当时他们回复系统安全正常。”

  羊城晚报援引安全人士表示,“但从目前情况看,携程的支付系统的确存在很多不确定性,风险程度很高。除了黑客盗取信息,公司内部对用户信息管理情况也令人担忧。”

  虽然不少携程的用户在看到消息之后,已经连夜向银行申请取消信用卡。但在奇虎360首席隐私官谭晓生看来,从已知信息来说,仍不能准确断定是否已经有大规模泄露发生,真正的情况只有当事企业自己清楚。

时间: 2024-10-22 19:09:17

携程“漏洞门":"大数据"呼唤"大安全”的相关文章

携程“漏洞门”引关注 大数据时代个人隐私去哪了

3月22日,互联网漏洞报告平台乌云网发布了一则消息:携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被任何黑客读取.根据这项报告,漏洞泄露的信息包含用户姓名.身份证号码.银行卡号和类别.卡CVV码.6位卡 Bin(用于支付的6位数字).如果有人获得了他人的上述信息,就能轻松完成信用卡支付. 消息一出,在携程网上有过信用卡消费经历的持卡人纷纷表达了自己的担忧,甚至有人主动到银行换卡.在这个大数据时代,个人隐私的相关话题成为热点

2014,大数据从“说"到"用”

缔元信.网络数据CEO秦雯说,过去一年,"大数据"的热度已经超出互联网行业,几乎每个见到的人都会和我谈谈大数据,而每次,我似乎又都在给"大数据"泼凉水.进入2014年,厘清一些有关大数据的问题并尽快规划.落实大数据应用思路,已经变得时不我待. 大数据看起来很美,但要像互联网一样真正用起来,距离还有点远.没错,数据能够优化业务,能够提升效率,能够提高效用,但是,对于大数据的误解很可能会延误我们应用大数据的进程,甚至,适得其反. 关于什么是大数据--概念.定义都有N多版

携程“信用卡门”:系统性风险还是操作失误

中介交易 SEO诊断 淘宝客 云主机 技术大厅 侯继勇 孟岩峰 安全问题会成为互联网时代的大问题,携程信用卡门又一次警醒世人. 周末招商银行的服务电话被人打爆了:很多用户都在咨询自己在携程上做过交易是否需要冻结信用卡?很多人为了安全,选择了先换卡,再冻结信用卡.另有一些用户则在各社交圈子里称"永远不上携程了". 3月22日晚,漏洞报告平台乌云网披露了携程网安全漏洞信息,漏洞发现者"猪猪侠"称由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意黑客读

携程信用卡门再次警醒世人,信息泄露原因何在?

安全问题会成为互联网时代的大问题,携程信用卡门又一次警醒世人. 周末招商银行的服务电话被人打爆了:很多用户都在咨询自己在携程上做过交易是否需要冻结信用卡?很多人为了安全,选择了先换卡,再冻结信用卡.另有一些用户则在各社交圈子里称"永远不上携程了". 3月22日晚,漏洞报告平台乌云网披露了携程网安全漏洞信息,漏洞发现者"猪猪侠"称由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意黑客读取.由于携程安全支付日志可以下载,导致大量用户银行卡信息泄露,其

“携程”安全门事件仍在发酵

摘要: 尽管过去了十多天,携程安全门事件仍在发酵.最近,有企业主爆料称,由于担心安全等问题,他们已经陆续弃用携程卡作为公司差旅服务.北京市万国教育公司CEO骆勇告诉记者,不光 尽管过去了十多天,"携程"安全门事件仍在发酵.最近,有企业主爆料称,由于担心安全等问题,他们已经陆续弃用携程卡作为公司差旅服务.北京市万国教育公司CEO骆勇告诉记者,不光只是他,他周边很多朋友都主动弃用了携程卡. 骆勇:那个(安全门)报道不是都说这件事么?我们就谨慎点,不用了呗. 记者:身边的朋友经历这件事,有没

《大数据蓝皮书》发布 大数据发展处落地转折期

由大数据战略重点实验室研究编著.社会科学文献出版社出版的<大数据蓝皮书:中国大数据发展报告No.1>日前正式发布.该书是全国首部<大数据蓝皮书>.<大数据蓝皮书>课题组研究认为,大数据发展已经处于从概念推广进入到全面落地的重要转折期. 蓝皮书指出,在需求.技术.资本和政策的四重驱动力量作用下,大数据发展呈现新态势,国家和区域战略布局全面升级.数据资源规模爆发性增长.跨境数据流推动全球化进入新阶段.产业发展保持高速增长态势,但同时也面临着部分领域建设过热.数据开放进展滞后

大数据思维的十大核心原理

大数据思维是客观存在,大数据思维是新的思维观.用大数据思维方式思考问题,解决问题是当下企业潮流.大数据思维开启了一次重大的时代转型. 大数据思维原理是什么?笔者概括为10项原理. 一.数据核心原理 从"流程"核心转变为"数据"核心 大数据时代,计算模式也发生了转变,从"流程"核心转变为"数据"核心.Hadoop体系的分布式计算框架已经是"数据"为核心的范式.非结构化数据及分析需求,将改变IT系统的升级方式:

大数据VS心理学:大数据将革新心理学-互联网分析沙龙

行业数据 大数据VS心理学:大数据将革新心理学 什么是心理学? 依照百度百科的描述,心理学是一门研究人类的心理现象.精神功能和行为的科学.心理学研究涉及知觉.认知.情绪.人格.行为.人际关系.社会关系等许多领域,也与日常生活的许多领域--家庭.教育.健康.社会等发生关联. 心理学一方面尝试用大脑运作来解释个体基本的行为与心理机能:同时,心理学也尝试解释个体心理机能在社会行为与社会动力中的角色:而且,它也与神经科学.医学.生物学等科学有关,因为这些科学所探讨的生理作用会影响个体的心智. 心理学包括

【大数据100分】大数据架构及行业大数据应用(中级教程)

[大数据100分]南大通用CTO武新:大数据架构及行业大数据应用[大数据中级教程] 主讲嘉宾:武新 主持人:中关村大数据产业联盟 副秘书长陈新河 承办:中关村大数据产业联盟 武新,南大通用高级副总裁兼CTO,法国奥尔良大学和法国国家科研中心博士:南大通用GBASE系列数据库产品的总设计师.在著名的甲骨文公司任职12年,是世界顶级的Oracle数据库专家.2010年获得中组部实施的国家"千人计划"荣誉(海外高层次人才引进计划),是国内基础软件行业唯一入选的数据库技术专家.对目前最新兴的列