中新網3月24日電 22日��,烏云漏洞平臺發布消息稱��,攜程旅行網支付日志存在漏洞,或導致大量用戶銀行卡信息泄露��。攜程隨后確認存在這一漏洞��,并發聲明表示��,有93名用戶存在安全風險。雖然攜程表示漏洞已經修復��,但這一安全事件仍引發諸多質疑��。有專家表示��,攜程保存客戶銀行卡信息屬于違反銀聯的規定。
攜程存儲用戶銀行卡信息 被指違反銀聯規定
據了解��,此次攜程漏洞可使包含持卡人姓名身份證��、[在蘇州注冊香港公司服務]銀行卡號��、卡CVV碼、6位卡Bin泄露��。據了解��,CVV即 Card Verification Value��,是由卡號、有效期和服務約束代碼生成3位或4位數字��,一般寫在卡片磁條2磁道用戶自定義數據區里面��。無需密碼支付的方式也叫信用卡“離線交易”��,僅憑卡號、CVV碼等信息即可完成支付��。專家提醒��,CVV安全碼相當于信用卡“第二密碼”,需妥善保管��。
針對攜程此次漏洞��,新浪微博認證為“MediaV CTO��,原Google技術總監”胡寧稱,用戶信用卡信息泄露��,并非犯低級技術錯誤這么簡單��,“敏感信息需加密存儲��、線上開調試功能需慎重、系統日志要及時清理、服務器安全性要達標��,這都是常識”��。
金山毒霸安全專家李鐵軍接受中新網IT頻道采訪時稱��,從目前攜程和烏云公布的資料來看,攜程用戶隱私的泄露過程還并不能完全肯定,但是結果造成的用戶安全風險是非常大的����!俺吮槐I刷的可能��,了解用戶這些信息后還可以創建第三方支付賬號,綁定信用卡實現境外購物����!睋私��,信用卡有一種支付功能為離線支付,這種支付方式只要知道了用戶的基本信息和CVV代碼后就可以實現支付��。
據多家媒體報道��,此次漏洞在于攜程記錄了用戶的CVV代碼��,上海鼎力律師事務所孫建中律師表示,攜程保存客戶信息屬于違反銀聯的規定,從《消費者權益保護法》看��,其技術手段未盡到保護消費者的義務��。財新傳媒(微博)總編輯胡舒立也直接指出��,攜程不是第三方支付機構,無權保留銀行卡信息。
另一方面��,[在無錫注冊香港公司服務]PCI-DSS(第三方支付行業數據安全標準)規定了不允許存儲CVV��,但攜程支付頁面稱通過了PCI認證��,同樣令人費解。
安全專家:被記錄過CVV代碼的用戶都必須換卡
攜程在聲明中表示,“截至23日22:00��,沒有接到攜程換卡通知的客戶��,個人信息均是安全的��,無需擔心。”攜程表示,目前有93人賬戶存在安全風險,并承諾未來如果因安全漏洞引起用戶損失��,攜程將承擔全部責任并給與賠償��。
但是這份聲明或并沒有打消用戶的擔心��,不少攜程用戶在微博表示“必須換卡”。 據了解��,作為國內在線旅游市場份額最大服務商��,攜程日均酒店預訂��、票務預訂等業務量以十萬計。不少網友表示,這樣大規模的一家企業,即便是如攜程所表示僅21日��、22日的部分交易客戶存風險��,難道僅僅是93位嗎��?
另一方面,怎么界定信用卡被盜刷同攜程漏洞有關也是一個問題。網友@舞劇3D:攜程所謂賠付的承諾根本不可信,因為你根本無法舉證信息泄露與攜程有關。還有網友指出,即便現在信用卡沒有被盜刷��,黑客還是可能把泄露的信息保存起來靜默一段時間再動手��,而到時被盜刷的原因也很難判斷����!叭绻庞每ū挥么朔N方式盜刷��,維權也很困難,因為銀行會認為是本人持卡在執行這些操作����!崩铊F軍表示��。
有業內人士指出,從目前來看��,最為保險的做法是“換卡”��。 但是哪些用戶有換卡的必要呢��?是否攜程所有用戶都必須換卡?“從目前攜程和烏云披露的信息中并不能確定是否所有攜程用戶信息都被泄露��,但是只要被記錄過CVV的用戶就必須更換信用卡����!崩铊F軍表示。
攜程安全隱患可能并未根本解除
攜程在公告中稱��,[在福州注冊香港公司服務]攜程已通知存在潛在風險的93名用戶更換信用卡��,經銀行反饋��,目前并沒有發生攜程用戶寫用卡被盜刷的情況。但事情似乎并不這么簡單��。
李鐵軍分析稱��,這次的事件并沒有根本上解決風險的可能��,因為從目前來看攜程違反了銀聯此前禁止記錄CVV的規定��!敖Y合此前攜程支付方面受到的安全質疑��,攜程在之前或還存在記錄用戶CVV的嫌疑��!
據多家媒體報道��,此前已有攜程用戶對于攜程支付安全提出質疑��,攜程回應稱攜程采用的信用卡支付方式符合國際慣例,且公司內部有足夠的風險把控能力。微博實名認證為廣西易搜科技有限公司CEO的嚴茂軍昨日在微博上表示��,“早在2月25日就致電過攜程我綁定攜程的幾張信用卡被盜刷十幾筆外幣的事件,當時他們回復系統安全正常����!
昨日��,羊城晚報援引安全人士表示,“但從目前情況看��,攜程的支付系統的確存在很多不確定性��,風險程度很高��。除了黑客盜取信息,公司內部對用戶信息管理情況也令人擔憂����!
雖然不少攜程的用戶在看到消息之后��,已經連夜向銀行申請取消信用卡。但在奇虎360首席隱私官譚曉生看來��,從已知信息來說��,仍不能準確斷定是否已經有大規模泄露發生��,真正的情況只有當事企業自己清楚。
