“携程在手,说走就走。”看似轻松的广告语背后,却隐藏着信用卡泄密的风险。
3月22日晚,全国知名票务服务公司、在美国纳斯达克上市的携程旅行网遇上了一片“乌云”。据国内漏洞报告平台乌云披露:携程旅行网支付日志存在漏洞,用户银行卡信息可被黑客任意读取。一时间,公众对于隐私安全的敏感神经再一次被挑动。而互联网大数据应用的信息安全问题也被推至风口浪尖。
一名安全专家举例说明,黑客可以通过用户的手机号码、银行卡号和信用卡验证码注册第三方支付账号,从而跳过用户和银行绑定的手机,进行盗刷。“这些数据可以用来创建或关联第三方支付,国内第三方支付公司多达几百家,可以利用的点很多。受害者很容易出现资金被盗的情况。”
据悉,目前携程已建立安全应急响应中心,并设立了信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。
携程高危害漏洞或致消费者信息泄露
22日晚间,不少用户发现,在微博和微信朋友圈内, “有没有携程信用卡”、“快点去注销所有在携程用过的信用卡”、“招行已经开通携程上相关信用卡注销换卡的绿色通道”等消息此起彼伏。而乌云平台一段关于技术的描述,被认为是引发这一风波的重要原因。
乌云平台披露信息显示,“由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取”。据悉,这一被归类为“敏感信息泄露”的高危害等级漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
虽然携程方面公布,3月21日与3月22日的部分交易客户可能受到影响,但已有部分使用携程预定过机票和酒店的消费者为保险起见,选择立即挂失银行卡或者修改密码。
许多携程会员担忧,在携程上绑定了信用卡或者用自己的信用卡交易过,那么信用卡的信息面临泄露的风险。而一旦用户信息已经泄露,携程是否补上漏洞对用户就没有什么意义了。
涉嫌违反信息安全管理标准
“第一次使用信用卡支付时,需提供信用卡卡种、卡号、CVV2码(即信用卡验证码)等一系列完整信息,然后提交支付。但是,第二次在携程网使用这张信用卡时,只需提供卡号后四位及CVV2码,携程网就会完成这次支付操作。” 携程会员邹女士对记者说,“这就意味着,携程存储了用户的相关信用卡信息。如果泄露出去,那就太可怕了!”
记者在中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》中看到如下表述:各收单机构系统只能存储用于交易清分、差错处理所必需的最基本账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码及卡片有效期。显然,携程网的做法已经明显违反了上述标准,
一名不愿具名的安全行业人士在接受《每日经济新闻》记者采访时认为,像淘宝网、京东商城购物时都不会记录CVV信息,用户是直接将银行卡数据提交给了银行。“携程网的做法明显是违规的,无论是否发生泄密,这是一种潜在的风险。尤其是携程披露的93名有可能受影响的用户,其银行卡信息已足以用于信用卡复制、克隆。”
他建议,如果用户在一周内使用过携程,特别是21、22日两天的用户,可以选择换卡,并等待携程进一步公开的信息。“一年到一周之间的用户,个人认为风险并不大如果不冻结,那么可以选择开通消费短信提醒等信息,帮助加强安全管理。”
93名用户已接通知要求换卡
22日晚,乌云网发布消息提到,携程技术人员已经确认该漏洞,并在两小时内修复。对此,携程网表示,该漏洞受影响的用户为近期的部分交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现,用户在携程的交易仍旧安全。此外,如有用户因为该漏洞造成的财产损失,携程将给予赔偿。
昨日下午,携程网再次回应称,共有93名用户的支付信息存在潜在风险,已通知这些用户更换信用卡。据解释,漏洞是由于该公司技术开发人员排查系统疑问时未及时删除临时日志而产生的。目前,这些信息已被全部删除。 随后携程表示,客服人员于昨日通知相关用户更换信用卡,并称银行方面也会协助用户办理换卡手续。截至23日22:00,如果没有接到携程客服换卡通知的用户,个人信息便是安全的。
MediaV CTO(首席技术官)、原Google技术总监胡宁分析,可能携程并未故意存储CVV信息。不过,“用户信用卡信息泄露,并非犯低级技术错误这么简单。敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识。”胡宁表示。
尽管其他网站并未暴露与携程网一样的危机,但大数据时代的网络信息安全还是受到了拷问,也让方兴未艾的网络支付蒙上阴影。
在线旅游行业受到震荡
携程“安全门”事件在引发公众讨论的同时,也对发展壮大中的在线旅游(OTA)互联网行业带来一次大的震荡。
“在线旅游行业是国内最早在机票、酒店领域实现信用卡预授权的行业,在支付宝和微信支付未流行起来之前,携程和艺龙作为在线旅游行业的代表,已经将线上支付通过信用卡的模式搞得比较普及了,很多高端商旅用户都是因为在携程和艺龙具有便捷的信用卡支付功能而使用它们的服务。这次的事件无疑将会对商旅用户这部分群体产生较大的影响。”旅游行业资深分析人士郑荣锋告诉记者。
“携程曝出的漏洞也会对其他电商平台起到警示作用,尤其是OTA应迅速自查,避免类似的事件再次发生,影响消费者权益。”劲旅咨询CEO魏长仁认为。
