中新網(wǎng)3月24日電 22日���,烏云漏洞平臺(tái)發(fā)布消息稱��,攜程旅行網(wǎng)支付日志存在漏洞�����,或?qū)е麓罅坑脩翥y行卡信息泄露����。攜程隨后確認(rèn)存在這一漏洞,并發(fā)聲明表示�,有93名用戶存在安全風(fēng)險(xiǎn)。雖然攜程表示漏洞已經(jīng)修復(fù)�����,但這一安全事件仍引發(fā)諸多質(zhì)疑�。有專家表示,攜程保存客戶銀行卡信息屬于違反銀聯(lián)的規(guī)定�����。
攜程存儲(chǔ)用戶銀行卡信息 被指違反銀聯(lián)規(guī)定
據(jù)了解�����,此次攜程漏洞可使包含持卡人姓名身份證�、[在蘇州注冊(cè)香港公司服務(wù)]銀行卡號(hào)、卡CVV碼�、6位卡Bin泄露�����。據(jù)了解�,CVV即 Card Verification Value���,是由卡號(hào)、有效期和服務(wù)約束代碼生成3位或4位數(shù)字�,一般寫在卡片磁條2磁道用戶自定義數(shù)據(jù)區(qū)里面。無需密碼支付的方式也叫信用卡“離線交易”�,僅憑卡號(hào)、CVV碼等信息即可完成支付�����。專家提醒�,CVV安全碼相當(dāng)于信用卡“第二密碼”,需妥善保管�����。
針對(duì)攜程此次漏洞����,新浪微博認(rèn)證為“MediaV CTO���,原Google技術(shù)總監(jiān)”胡寧稱,用戶信用卡信息泄露��,并非犯低級(jí)技術(shù)錯(cuò)誤這么簡單�����,“敏感信息需加密存儲(chǔ)����、線上開調(diào)試功能需慎重、系統(tǒng)日志要及時(shí)清理����、服務(wù)器安全性要達(dá)標(biāo),這都是常識(shí)”��。
金山毒霸安全專家李鐵軍接受中新網(wǎng)IT頻道采訪時(shí)稱����,從目前攜程和烏云公布的資料來看,攜程用戶隱私的泄露過程還并不能完全肯定�,但是結(jié)果造成的用戶安全風(fēng)險(xiǎn)是非常大的。“除了被盜刷的可能��,了解用戶這些信息后還可以創(chuàng)建第三方支付賬號(hào)����,綁定信用卡實(shí)現(xiàn)境外購物����!睋(jù)了解,信用卡有一種支付功能為離線支付���,這種支付方式只要知道了用戶的基本信息和CVV代碼后就可以實(shí)現(xiàn)支付。
據(jù)多家媒體報(bào)道��,此次漏洞在于攜程記錄了用戶的CVV代碼�����,上海鼎力律師事務(wù)所孫建中律師表示���,攜程保存客戶信息屬于違反銀聯(lián)的規(guī)定��,從《消費(fèi)者權(quán)益保護(hù)法》看���,其技術(shù)手段未盡到保護(hù)消費(fèi)者的義務(wù)���。財(cái)新傳媒(微博)總編輯胡舒立也直接指出,攜程不是第三方支付機(jī)構(gòu)�����,無權(quán)保留銀行卡信息����。
另一方面,[在無錫注冊(cè)香港公司服務(wù)]PCI-DSS(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))規(guī)定了不允許存儲(chǔ)CVV���,但攜程支付頁面稱通過了PCI認(rèn)證�����,同樣令人費(fèi)解����。
安全專家:被記錄過CVV代碼的用戶都必須換卡
攜程在聲明中表示��,“截至23日22:00��,沒有接到攜程換卡通知的客戶,個(gè)人信息均是安全的���,無需擔(dān)心������!睌y程表示���,目前有93人賬戶存在安全風(fēng)險(xiǎn)���,并承諾未來如果因安全漏洞引起用戶損失,攜程將承擔(dān)全部責(zé)任并給與賠償����。
但是這份聲明或并沒有打消用戶的擔(dān)心���,不少攜程用戶在微博表示“必須換卡”�����。 據(jù)了解��,作為國內(nèi)在線旅游市場(chǎng)份額最大服務(wù)商��,攜程日均酒店預(yù)訂����、票務(wù)預(yù)訂等業(yè)務(wù)量以十萬計(jì)。不少網(wǎng)友表示�,這樣大規(guī)模的一家企業(yè),即便是如攜程所表示僅21日�����、22日的部分交易客戶存風(fēng)險(xiǎn)���,難道僅僅是93位嗎����?
另一方面����,怎么界定信用卡被盜刷同攜程漏洞有關(guān)也是一個(gè)問題。網(wǎng)友@舞劇3D:攜程所謂賠付的承諾根本不可信�����,因?yàn)槟愀緹o法舉證信息泄露與攜程有關(guān)。還有網(wǎng)友指出���,即便現(xiàn)在信用卡沒有被盜刷����,黑客還是可能把泄露的信息保存起來靜默一段時(shí)間再動(dòng)手�,而到時(shí)被盜刷的原因也很難判斷��!叭绻庞每ū挥么朔N方式盜刷���,維權(quán)也很困難���,因?yàn)殂y行會(huì)認(rèn)為是本人持卡在執(zhí)行這些操作����!崩铊F軍表示����。
有業(yè)內(nèi)人士指出,從目前來看�����,最為保險(xiǎn)的做法是“換卡”。 但是哪些用戶有換卡的必要呢���?是否攜程所有用戶都必須換卡����?“從目前攜程和烏云披露的信息中并不能確定是否所有攜程用戶信息都被泄露�����,但是只要被記錄過CVV的用戶就必須更換信用卡�。”李鐵軍表示��。
攜程安全隱患可能并未根本解除
攜程在公告中稱�����,[在福州注冊(cè)香港公司服務(wù)]攜程已通知存在潛在風(fēng)險(xiǎn)的93名用戶更換信用卡����,經(jīng)銀行反饋,目前并沒有發(fā)生攜程用戶寫用卡被盜刷的情況�。但事情似乎并不這么簡單���。
李鐵軍分析稱,這次的事件并沒有根本上解決風(fēng)險(xiǎn)的可能����,因?yàn)閺哪壳皝砜磾y程違反了銀聯(lián)此前禁止記錄CVV的規(guī)定��!敖Y(jié)合此前攜程支付方面受到的安全質(zhì)疑���,攜程在之前或還存在記錄用戶CVV的嫌疑���������!
據(jù)多家媒體報(bào)道���,此前已有攜程用戶對(duì)于攜程支付安全提出質(zhì)疑���,攜程回應(yīng)稱攜程采用的信用卡支付方式符合國際慣例���,且公司內(nèi)部有足夠的風(fēng)險(xiǎn)把控能力����。微博實(shí)名認(rèn)證為廣西易搜科技有限公司CEO的嚴(yán)茂軍昨日在微博上表示,“早在2月25日就致電過攜程我綁定攜程的幾張信用卡被盜刷十幾筆外幣的事件�����,當(dāng)時(shí)他們回復(fù)系統(tǒng)安全正常����������!
昨日�,羊城晚報(bào)援引安全人士表示,“但從目前情況看����,攜程的支付系統(tǒng)的確存在很多不確定性,風(fēng)險(xiǎn)程度很高�����。除了黑客盜取信息,公司內(nèi)部對(duì)用戶信息管理情況也令人擔(dān)憂����!
雖然不少攜程的用戶在看到消息之后��,已經(jīng)連夜向銀行申請(qǐng)取消信用卡����。但在奇虎360首席隱私官譚曉生看來,從已知信息來說����,仍不能準(zhǔn)確斷定是否已經(jīng)有大規(guī)模泄露發(fā)生,真正的情況只有當(dāng)事企業(yè)自己清楚���。
