CFP
■本报记者 郭艺珺
3月22日晚间,漏洞报告平台乌云网连续发布两条漏洞报告,称携程安全支付日志可下载,导致大量用户银行卡信息泄露。携程当晚回应称,这是在技术调试过程中出现的短时漏洞,已在两小时内修复,用户信息安全未受影响。昨天,携程又接连发布两次声明称,携程已同各大银行取得联系,目前未出现用户信用卡被盗刷情况,并已通知93名潜在风险用户换卡。
业内人士分析指出,携程无论如何不应泄露用户信用卡的三位安全码(CVV),此次事件或将给携程和相关支付企业带来连锁影响。
93名存在潜在风险的用户被通知换卡
3月22日17时28分,一份名为“携程某分站源代码包可直接下载 (涉及数据库配置和支付接口信息)”的漏洞报告出现在乌云网上。漏洞发现者“猪猪侠”称,由于携程开启用户支付服务接口的调试功能,支付过程中的调试信息可被任意黑客读取。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码 (三位安全码)、6位卡Bin (支付密码)等信息外泄。
记者随后致电携程网,相关负责人回复:“在漏洞消息发布后,携程立即展开排查,并在两个小时内修复。”据其介绍,该漏洞可能受影响用户为3月21日至22日的部分交易客户,截至目前并没有用户受到该漏洞影响而造成财产损失。该负责人同时表示如果有用户因为该漏洞造成财产损失,携程将赔偿损失。
3月23日凌晨5点多,携程再次发布回应公告称,除了漏洞发现者做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况。
另外,携程还同各大银行联系核实,尚未出现用户信用卡被盗刷的情况。当日下午,携程第三次发布公告称,经排查,仅漏洞发现者做了测试下载,共涉及93名存在潜在风险的携程用户。携程已通知他们更换信用卡,费用由携程承担,并再次确认没有发生信用卡被盗刷情况。
昨天下午3点30分左右,该漏洞发现者在其新浪博客中称:“目前本人已将安全测试涉及到的日志信息彻底删除,卡号等敏感信息有加密,携程也及时修复漏洞,相关信息并没有被传播。”
用贴纸把CVV码盖住保护“第二密码”
事实上,携程的支付安全问题并非首次受到质疑。今年1月,某媒体就曾以 “携程网被疑储存用户信用卡信息,存在泄露风险”进行过报道。报道称,携程用户反映,在携程网购产品时,只提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,就可提交支付。第二次在携程使用这张信用卡时,只需提供卡号后四位及CVV2码即可。如此“便捷”让用户对安全性感到担忧。
记者了解到,根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》,各收单机构系统不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。携程日志中存储的信息已超过允许范围。
一位不愿透露姓名的业内人士表示:“就怕半年、一年后再出盗刷事件,客户不知原委,板子打在银行身上。”业内人士还提醒,CVV安全码相当于信用卡“第二密码”,要妥善保护。持卡人开卡后不妨用贴纸把背面CVV码盖住,不将卡片外借,刷卡时卡片不离开视线,不外泄卡片信息。
业内人士认为,携程此次漏洞事故或将带来连锁影响。“携程不该存CVV码。”中国旅游研究院研究员杨彦锋在接受专访时表示,携程在付款中需记录并转发给银行接口用户信息,但记录日志破坏了安全性。“这次受影响的不止是携程,支付宝财付通也可能‘躺枪’,绑定的卡又要掉一部分。”杨彦锋指出,这还可能给限制余额宝们落了口实。
手机看中经
经济日报微信
中经网微信
