支付信息泄露引發(fā)消費(fèi)者換卡98p安康新聞網(wǎng)
攜程被指違規(guī)獲取用戶信息98p安康新聞網(wǎng)
記者 韋夏怡 北京報道98p安康新聞網(wǎng)
針對漏洞報告平臺烏云日前指出攜程信息安全漏洞問題��,攜程方面23日回應(yīng)稱��,攜程旅行網(wǎng)在技術(shù)調(diào)試過程中出現(xiàn)了短時漏洞���,公司已在兩小時內(nèi)修復(fù)了這個漏洞����,攜程用戶信息未受影響�。不過,來自銀行客服的信息顯示��,受上述事件影響,已開始有消費(fèi)者陸續(xù)向銀行要求換卡�����。有IT安全人士進(jìn)一步指出�,攜程存在違規(guī)獲取信用卡用戶信息之嫌。98p安康新聞網(wǎng)
近日����,烏云平臺連續(xù)披露了兩個攜程網(wǎng)(49.49, 0.01, 0.02%)安全漏洞,漏洞發(fā)現(xiàn)者稱由于攜程開啟了用戶支付服務(wù)借口的調(diào)試功能���,導(dǎo)致攜程安全支付日志可被任意駭客讀取����。安全日志包含的信息包括:持卡人姓名��、持卡人身份證��、所持銀行卡類別(比如���,招商銀行(7.98, 0.07, 0.88%)信用卡、中國銀行信用卡)�、所持銀行卡卡號、所持銀行卡CVV碼以及所持銀行卡6位BIN(用于支付的6位數(shù)字)。98p安康新聞網(wǎng)
消息一出���,攜程方面隨即展開技術(shù)排查���。據(jù)攜程排查,可能受影響的為3月21日與3月22日的部分交易客戶���,除了漏洞發(fā)現(xiàn)人做了少量的測試下載并已全部刪除外��,沒有出現(xiàn)惡意下載有關(guān)數(shù)據(jù)的情況���,用戶在攜程的交易仍舊是安全的,用戶的信息安全沒有受到影響�����。98p安康新聞網(wǎng)
事件發(fā)生后�,攜程同各大銀行均取得聯(lián)系,經(jīng)核實�,目前也沒有出現(xiàn)用戶信用卡被盜刷的情況。攜程表示����,未來倘若發(fā)生安全漏洞并引起用戶損失,攜程將給予全額賠付,而對于此次漏洞事件如果有新的進(jìn)展也將持續(xù)通報���。98p安康新聞網(wǎng)
記者了解到��,受這一事件影響�����,已開始有消費(fèi)者陸續(xù)向銀行要求換卡�����。“據(jù)說這兩天銀行客服電話快被打爆了��,周圍朋友不放心�����,都在要求換卡���。”上海的竇女士告訴記者。記者從多家銀行客服方面了解到�,已經(jīng)有不少客戶向銀行反饋此情況,而銀行方面也建議客戶更換卡片��。98p安康新聞網(wǎng)
“此次事件涉及持卡人信息安全問題,作為卡組織���,銀聯(lián)對持卡人權(quán)益保護(hù)一直高度關(guān)注。我們第一時間與攜程取得聯(lián)系��,正在了解事件的相關(guān)情況��。”中國銀聯(lián)資深風(fēng)險專家王宇表示�,“根據(jù)目前了解到的情況,攜程方面對此次事件原因的解釋是��,攜程的技術(shù)開發(fā)人員為了排查系統(tǒng)疑問�,留下了臨時日志文件,因疏忽未及時刪除�����,目前�,這些信息已被全部刪除。”98p安康新聞網(wǎng)
王宇稱����,希望攜程嚴(yán)格按照與相關(guān)合作機(jī)構(gòu)的協(xié)議約定,對本次信息泄露的狀況真實��、完整地反映給發(fā)卡機(jī)構(gòu),及時通報事件處置進(jìn)展���;請發(fā)卡機(jī)構(gòu)盡快將相關(guān)信息反饋持卡人���,保護(hù)持卡人信息和資金安全。同時銀聯(lián)也在聯(lián)合攜程和各商業(yè)銀行共同研究進(jìn)一步解決措施��。銀聯(lián)建議����,近期在攜程使用過信用卡的持卡人,盡快與發(fā)卡銀行取得聯(lián)系�����,根據(jù)發(fā)卡銀行給出的建議處理�����。98p安康新聞網(wǎng)
值得注意的是�,該事件進(jìn)一步引發(fā)市場人士對于攜程違規(guī)獲取用戶信息的擔(dān)憂。98p安康新聞網(wǎng)
有市場人士指出�����,攜程記錄用戶支付信息的行為違反了銀聯(lián)2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》。根據(jù)該標(biāo)準(zhǔn)的2.1條����,各收單機(jī)構(gòu)系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息��,不得存儲銀行卡磁道信息��、卡片驗證碼���、個人標(biāo)識代碼(PIN)及卡片有效期。根據(jù)標(biāo)準(zhǔn)8.1條��,各類受理終端均不得存儲銀行卡磁道信息����、卡片驗證碼、個人標(biāo)識代碼�、卡片有效期等敏感賬戶信息。98p安康新聞網(wǎng)
“攜程這次的問題是��,不加密儲存敏感信息���,且在日志中保存了過多的不必要的信息��。”一位支付行業(yè)人士向《經(jīng)濟(jì)參考報》記者表示���,“技術(shù)層面的缺陷有時候是不可抗的��,但是涉及到違規(guī)存儲用戶信息這一規(guī)則上的漏洞�����,就事關(guān)道德風(fēng)險�����,這是企業(yè)自身應(yīng)該堅守的底線���。”98p安康新聞網(wǎng)
據(jù)知情人士透露,攜程此次用戶信息泄露事件��,可能是無線研發(fā)推進(jìn)過快而變相導(dǎo)致的����。該人士稱,攜程的安全漏洞����,不是在Web網(wǎng)頁上的漏洞導(dǎo)致�,而是無線部門在手機(jī)APP產(chǎn)品調(diào)試過程中�����,保存了日志并在Web.config開了目錄遍歷才出的狀況�����。一位企業(yè)負(fù)責(zé)IT安全的人士告訴記者���,利用目錄遍歷攻擊漏洞,攻擊者能夠超過服務(wù)器的根目錄�����,從而訪問到文件系統(tǒng)的其他部分�����,訪問受限制文件或資源�,或者采取更危險的行為。98p安康新聞網(wǎng)
對于上述情況�,攜程此前在接受媒體采訪時表示,攜程網(wǎng)采用的信用卡支付方式符合國際慣例����。銀行授權(quán)可做此支付交易的商戶都是需要通過信用卡中心認(rèn)證��,均屬于資質(zhì)非常高的商戶�����,安全性有保障���,攜程也是銀行最早授權(quán)可以做此交易的商戶之一。98p安康新聞網(wǎng)
98p安康新聞網(wǎng)
