安全问题会成为互联网时代的大问题,携程信用卡门又一次警醒世人。
周末招商银行的服务电话被人打爆了:很多用户都在咨询自己在携程上做过交易是否需要冻结信用卡?很多人为了安全,选择了先换卡,再冻结信用卡。另有一些用户则在各社交圈子里称“永远不上携程了”。
3月22日晚,漏洞报告平台乌云网披露了携程网安全漏洞信息,漏洞发现者“猪猪侠”称由于携程开启了用户支付服务接口的调试功能,支付过程中的调试信息可被任意黑客读取。由于携程安全支付日志可以下载,导致大量用户银行卡信息泄露,其中包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等等。
为什么会出现这样的情况?携程相关负责人接受21世纪经济报道记者采访时表示:经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
某企业负责IT安全的人士向21世纪经济报道表示,利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为。
另外,携程可能违反了银联此前禁止记录CVC码的规定,有可能面临重罚。
是非国际标准
在携程上有信用卡支付经历的人都知道,初次使用时需提供信用卡卡种、卡号、有效期、CVV码(即信用卡验证码)等一系列完整信息,然后提交支付。但第二次在携程网使用这张信用卡时,只需提供卡号后四位,携程网就会完成这次支付操作。
而CVV几乎是核心信息:如果你把卡号、姓名以及有效期等全部报出,商家如何确认这一张卡确实就在用户手中呢?判断的标准就是能否报出CCV号码。如果通过某种途径截取了用户的姓名身份证、银行卡号、卡CVV码等信息,最严重的后果就是凭借这些全卡信息再复制一张信用卡,在网上或者实体商户消费。
事实上,关于留存CVV码,各个市场执行的标准并不一样,比如在美国,Target、Bestbuy、亚马逊等公司也要求在信用卡支付时留存CVV码,但在中国,银联要求信用卡支付不能留存CVV码。
安全一直是互联网时代的一个大问题。2006年为了应对支付安全, visa、mastercard、American Express、Discover Financial Services、JCB这全球五大国际卡组织一起创办了PCI安全标准委员会,并制定了一套保护持卡人数据的技术和操作的基本安全要求措施,即PCI DSS标准。
北京航天亿展科技有限公司是PCI DSS在中国的合作伙伴,该公司于2007年与VISA及建行等将该标准体系引入国内。
航天亿展的工作人员对记者表示,PCI DSS是对于支付网关的安全方面作出标准要求,包括安全管理、策略、过程、网络体系结果等等。据介绍,目前国外按照商户年交易量分为四个等级。第一等级是年交易量在600万笔以上的商户必须接入此系统;第二等级为年交易量100万至600万笔,第三等级为年交易量在100万至200万笔,第二等级及第三等级的商户可以请相关的人员到公司去做商务合规,合规商户会拿到相关报告;第四等级则是年交易量在2万笔,并不强制规定。
目前,南航、网银在线、支付宝、快钱及银联等多家公司及第三方支付公司已经接入该认证。航天亿展的工作人员告诉记者,比如支付宝引入该系统,就要求与其接入的大商户都要做PCI DSS认证,“我们的规范会每隔一段时间就更新。”
而在线旅游网站中,只有去哪儿已经引入该认证标准。上述工作人员告诉记者,此前携程曾有意向接入该系统,但是公司工作人员去考察之后发现,携程系统要整改难度太大,业务种类多且交叉多,如果按照该系统接入而整改会使架构都会有所变化。
“并非携程不想做,而是本身技术条件限制,这个在 PCI里也有规定的,可以申请特批。”而对于携程是否做了商务合规,上述工作人员表示并不清楚。
而携程方则回应记者称,该系统并不是强制性的系统,在携程看来,该系统与是否进行网上支付没有任何关联度,只是商业认证资质,并不是行业准入标准,并不能代表任何问题。“就像如果我是做食品的企业,我没有ISO9000的认证,就能说我不安全么?”