携程漏洞引争议 谁来保障用户信息安全?业界

/ 综合 / 2014-12-05 11:42
针对上周六乌云漏洞平台曝出的携程网安全支付日志漏洞问题,携程也确认该漏洞的存在。携程表示,目前已修复该漏洞,用户信息安全未受影响,并已通知有风险的93名用户更换信...

针对上周六乌云漏洞平台曝出的携程网安全支付日志漏洞问题,携程也确认该漏洞的存在。携程表示,目前已修复该漏洞,用户信息安全未受影响,并已通知有风险的93名用户更换信用卡。但这一漏洞事件引发争议,有安全人士认为,携程保存客户银行卡信息属于违规行为,携程安全隐患可能并未根除。

携程

上周六,漏洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息,由于携程开启了用户支付服务借口的调试功能,支付过程中的调试信息可被任意黑客读取。安全日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡卡号、银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。

对此,携程官方当晚就回应称,这是在技术调试过程中出现的短时漏洞,已经在消息发布后两个小时之内修复,可能受影响的为3月21日与3月22日的部分交易客户,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户的信息安全没有受到影响。

另外,携程还同各大银行联系核实,获悉目前也没有出现用户信用卡被盗刷的情况。携程已通知93名有潜在风险的用户更换信用卡。携程将继续进行网络安全的核查工作,如果有用户因为该漏洞造成财产损失,携程将赔偿损失。

本来此事应该随着愉快的周末被人们淡忘,但是可能是由于此次事件与银行卡信息相关,引起的轰动效应较大。而携程对泄密事件的一些细节却含糊其辞更是让人质疑。

有安全人士认为,携程保存客户银行卡信息属于违反银联的规定。其实,此次携程安全漏洞的关注焦点,也就在于携程是否违规保存了用户的信用卡CVV码信息。

所谓CVV安全码,即信用卡背面签名条后7位斜体数字的末三位,是进行网络和电话交易时的安全特征,是属于高度机密的用户信息。相当于信用卡“第二密码”需要妥善保管。

根据中国银联发布的《银行卡收单机构帐户管理标准》,各收单机构系统只能存储用于交易清分、卡片验证码、个人标识代码(PIN)及卡片有效期。磁道信息、卡片验证码、个人标识代码、卡片有效期只用于完成银联卡交易,不能用于除此之外的任何其他用途。

而此次漏洞事件就是由于携程记录了用户的CVV代码。但是携程官方表示,在用户授权后,携程会保存非CVV信息,为了降低用户费力度与协助用户便捷支付,而未扣款成功的CVV信息最多会被暂存7天,符合PCI-DSS规定,携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。

业内人士表示,携程可能并未故意存储CVV信息,但其数据传输为明文,且线上长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞。此外,即使对CVV信息只存储7天,同样也是违反PCI规定的。并且,有消息称,携程此前一直在申请PCI认证,但并未通过。

对于携程保留用户CVV信息是否违规是专业人士关心的焦点,而对于广大用户来说,更加关心的是到底有多少用户受到影响,携程作为国内在线旅游市场份额最大服务商,携程日均酒店预订、票务预订等业务量以十万计。不少网友表示,这样大规模的一家企业,即便是如携程所表示仅21日、22日的部分交易客户存风险,难道仅仅是93位吗?

业内人士表示,携程是行业巨头,又是上市公司,居然也在安全问题上犯这样的低级错误,只能说没有把用户的利益放在第一位,同时也反映出当前中国互联网界整体安全意识淡薄的现状。

虽然携程已通知存在潜在风险的93名用户更换信用卡,通过与银行沟通,目前并没有发生携程用户写用卡被盗刷的情况。但风险并没有得到根本解除。

金山毒霸安全专家李铁军分析称,其实,该事件并没有根本上解决风险的可能,因为从目前来看携程违反了银联此前禁止记录CVV的规定。“结合此前携程支付方面受到的安全质疑,携程在之前或还存在记录用户CVV的嫌疑。”

微博实名认证为广西易搜科技有限公司CEO的严茂军昨日发表微博称,“早在2月25日就致电过携程我绑定携程的几张信用卡被盗刷十几笔外币的事件,当时他们回复系统安全正常。”

此外,还有网友指出,即便现在信用卡没有被盗刷,黑客还是有可能把泄露的信息保存起来静默一段时间再动手,而到时被盗刷的原因也很难判断。

从此次携程曝出的漏洞来看,其实,这不仅仅是携程一家,在很多电商平台在支付时只需要输入银行卡后4位和CVV码即可完成支付。电商资深人士鲁振旺表示,这就说明,电商平台在服务器上保存了用户的关键信息,这是严重违规的行为。

或许这些网站在进行这些不规范操作的时候未必心存恶念,它们更多的可能只是为了提供更简洁的流程,提供更好的体验去留住用户,以便在竞争中取得领先地位,但实质上,却是以牺牲用户网络安全为代价的。



1. 遵循行业规范,任何转载的稿件都会明确标注作者和来源;2. 的原创文章,请转载时务必注明文章作者和"来源: ",不尊重原创的行为 或将追究责任;3.作者投稿可能会经 编辑修改或补充。


阅读延展

1
3
Baidu
map