携程信用卡门再次警醒世人,信息泄露原因何在?

安全问题会成为互联网时代的大问题,携程信用卡门又一次警醒世人。

周末招商银行的服务电话被人打爆了:很多用户都在咨询自己在携程上做过交易是否需要冻结信用卡?很多人为了安全,选择了先换卡,再冻结信用卡。另有一些用户则在各社交圈子里称“永远不上携程了”。

3月22日晚,漏洞报告平台乌云网披露了携程网安全漏洞信息,漏洞发现者“猪猪侠”称由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意黑客读取。由于携程安全支付日志可以下载,导致大量用户银行卡信息泄露,其中包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等等。

为什么会出现这样的情况?携程相关负责人接受21世纪经济报道记者采访时表示:经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。

某企业负责IT安全的人士向21世纪经济报道表示,利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为。

另外,携程可能违反了银联此前禁止记录CVC码的规定,有可能面临重罚。

是非国际标准

在携程上有信用卡支付经历的人都知道,初次使用时需提供信用卡卡种、卡号、有效期、CVV码(即信用卡验证码)等一系列完整信息,然后提交支付。但第二次在携程网使用这张信用卡时,只需提供卡号后四位,携程网就会完成这次支付操作。

而CVV几乎是核心信息:如果你把卡号、姓名以及有效期等全部报出,商家如何确认这一张卡确实就在用户手中呢?判断的标准就是能否报出CCV号码。如果通过某种途径截取了用户的姓名身份证、银行卡号、卡CVV码等信息,最严重的后果就是凭借这些全卡信息再复制一张信用卡,在网上或者实体商户消费。

事实上,关于留存CVV码,各个市场执行的标准并不一样,比如在美国,Target、Bestbuy、亚马逊等公司也要求在信用卡支付时留存CVV码,但在中国,银联要求信用卡支付不能留存CVV码。

安全一直是互联网时代的一个大问题。2006年为了应对支付安全, visa、mastercard、American Express、Discover Financial Services、JCB这全球五大国际卡组织一起创办了PCI安全标准委员会,并制定了一套保护持卡人数据的技术和操作的基本安全要求措施,即PCI DSS标准。

北京航天亿展科技有限公司是PCI DSS在中国的合作伙伴,该公司于2007年与VISA及建行等将该标准体系引入国内。

航天亿展的工作人员对记者表示,PCI DSS是对于支付网关的安全方面作出标准要求,包括安全管理、策略、过程、网络体系结果等等。据介绍,目前国外按照商户年交易量分为四个等级。第一等级是年交易量在600万笔以上的商户必须接入此系统;第二等级为年交易量100万至600万笔,第三等级为年交易量在100万至200万笔,第二等级及第三等级的商户可以请相关的人员到公司去做商务合规,合规商户会拿到相关报告;第四等级则是年交易量在2万笔,并不强制规定。

目前,南航、网银在线、支付宝、快钱及银联等多家公司及第三方支付公司已经接入该认证。航天亿展的工作人员告诉记者,比如支付宝引入该系统,就要求与其接入的大商户都要做PCI DSS认证,“我们的规范会每隔一段时间就更新。”

而在线旅游网站中,只有去哪儿已经引入该认证标准。上述工作人员告诉记者,此前携程曾有意向接入该系统,但是公司工作人员去考察之后发现,携程系统要整改难度太大,业务种类多且交叉多,如果按照该系统接入而整改会使架构都会有所变化。

“并非携程不想做,而是本身技术条件限制,这个在 PCI里也有规定的,可以申请特批。”而对于携程是否做了商务合规,上述工作人员表示并不清楚。

而携程方则回应记者称,该系统并不是强制性的系统,在携程看来,该系统与是否进行网上支付没有任何关联度,只是商业认证资质,并不是行业准入标准,并不能代表任何问题。“就像如果我是做食品的企业,我没有ISO9000的认证,就能说我不安全么?”

时间: 2024-09-20 05:10:01

携程信用卡门再次警醒世人,信息泄露原因何在?的相关文章

携程“信用卡门”:系统性风险还是操作失误

中介交易 SEO诊断 淘宝客 云主机 技术大厅 侯继勇 孟岩峰 安全问题会成为互联网时代的大问题,携程信用卡门又一次警醒世人. 周末招商银行的服务电话被人打爆了:很多用户都在咨询自己在携程上做过交易是否需要冻结信用卡?很多人为了安全,选择了先换卡,再冻结信用卡.另有一些用户则在各社交圈子里称"永远不上携程了". 3月22日晚,漏洞报告平台乌云网披露了携程网安全漏洞信息,漏洞发现者"猪猪侠"称由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意黑客读

携程信用卡信息泄露的五个基本问题,别拿PCI DSS说事!

携程信用卡信息泄露事件昨日曝光后持续发酵,由于携程用户数量巨大,且在在线旅游业OTA行业树大招风,各路好汉番茄鸡蛋一起招呼,使得此事件大有闹剧化和狗血化趋势.一些不明真相的群众受到别有用心的煽动,开始对用卡安全产生担忧,以下安全牛不代表任何一方利益,仅仅摆一摆几个基本事实和问题: 一.在乌云平台上曝光的携程漏洞是什么? 携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户的支付记录用文本保存了下来.同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中

携程“漏洞门":"大数据"呼唤"大安全”

互联网将人们带入了大数据时代,大数据被称为未来的信息"金矿".这些数据的价值越来越被重视,无数双眼睛正窥视着这笔无形的资产. "携程在手,说走就走."看似轻松的广告语背后,却隐藏着信用卡泄密的风险.3月22日晚,全国知名票务服务公司.在美国纳斯达克上市的携程旅行网遇上了一片"乌云".据国内漏洞报告平台乌云披露:携程旅行网支付日志存在漏洞,用户银行卡信息可被黑客任意读取. 中国互联网信息中心调查报告显示,2013年我国网购用户规模已达到3.02亿人

工行推出工银携程信用卡

记者从中国工商银行(601398,股吧)东莞分行获悉,为充实信用卡产品阵线,丰富对信用卡中高端客户的服务种类,强化商旅类联名卡市场竞争力,中国工商银行与携程计算机技术(上海)有限公司(以下简称"携程网")签订了联名卡合作协议,将在全国范围内联合发行工银携程信用卡. 据介绍,工行与携程网合作推出的联名信用卡工银携程信用卡具有金卡和普卡两个等级,该产品除具有贷记卡的标准金融功能外,还具有携程网会员卡功能,享受携程网提供的一系列专享服务和优惠.只要符合工行发卡指引的客户都可申办,与http:

“携程”安全门事件仍在发酵

摘要: 尽管过去了十多天,携程安全门事件仍在发酵.最近,有企业主爆料称,由于担心安全等问题,他们已经陆续弃用携程卡作为公司差旅服务.北京市万国教育公司CEO骆勇告诉记者,不光 尽管过去了十多天,"携程"安全门事件仍在发酵.最近,有企业主爆料称,由于担心安全等问题,他们已经陆续弃用携程卡作为公司差旅服务.北京市万国教育公司CEO骆勇告诉记者,不光只是他,他周边很多朋友都主动弃用了携程卡. 骆勇:那个(安全门)报道不是都说这件事么?我们就谨慎点,不用了呗. 记者:身边的朋友经历这件事,有没

从携程信用卡信息泄露事件谈网上支付安全

最近携程被爆信用卡信息泄露事件,事件内容:http://www.wooyun.org/bugs/wooyun-2010-054302 携程声明:http://pages.ctrip.com/commerce/promote/201403/other/xf/index.html 各种互联网大公司网站各种漏洞:http://www.wooyun.org/index.php 首先,用户通过携程订票在支付时,会将自己的信用卡支付信息在携程的页面中填写好,然后携程通过银行给的接口将表单信息传送给银行进行验

携程隐私门带来的启示:这些地方易出信息漏洞

漏洞报告平台乌云网最近连续披露两个携程网安全漏洞,称携程安全支付日志可被任意读取,日志可以泄露包括持卡人姓名.身份证.银行卡类别.银行卡号.CVV码等信息. 携程解释称,安全漏洞是由于技术开发人员为排查系统疑问而留下临时日志,并由于疏忽未及时删除.不过,据知情人士透露,一旦掌握目录遍历,攻击者能超过服务器根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或采取更危险行为. 此次暴露出的"隐私泄露"问题并非携程一个企业存在,7天等连锁酒店去年就被曝出存在系统安全漏洞,导致200

携程“漏洞门”引关注 大数据时代个人隐私去哪了

3月22日,互联网漏洞报告平台乌云网发布了一则消息:携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被任何黑客读取.根据这项报告,漏洞泄露的信息包含用户姓名.身份证号码.银行卡号和类别.卡CVV码.6位卡 Bin(用于支付的6位数字).如果有人获得了他人的上述信息,就能轻松完成信用卡支付. 消息一出,在携程网上有过信用卡消费经历的持卡人纷纷表达了自己的担忧,甚至有人主动到银行换卡.在这个大数据时代,个人隐私的相关话题成为热点

线下旅游销售反击战:携程“封杀门”虚实

本报记者 高江虹 北京报道 一则"300余家国际酒店集团封杀去哪儿和淘宝"消息,引爆2013年在线旅游行业第一场口水战:去哪儿直指携程为"封杀门"背后指使,并抛出大量证据,指出携程网上订房价格因远高于去哪儿,曾加价倒卖去哪儿的4000多张酒店订单.携程副总裁汤澜则回应称是去哪儿自我炒作. 1月31日,洲际和万豪两家在华酒店数量最多的国际酒店集团答复记者称,并未有"封杀"一说,酒店集团与淘宝和去哪儿均有不同合作,并未改变. 广东某大型旅行社一位不愿