携程支付日志曝出安全漏洞引发用户恐慌
昨日携程正式致歉:若用户发生损失,将全额赔付
携程“支付漏洞”风波只是虚惊一场?
昨晚,微博微信上的一条信息被疯转:“各位注册过携程的,在携程用信用卡支付过的,赶紧关掉信用卡网上支付吧,出大事了……”、“携程安全支付日志可便利下载导致大量用户信用卡信息或泄露”、“电话打到招商银行,客服告诉我关于携程的事只有这两天有影响,已经修好了漏洞,无需再换卡”……一时间,携程网“信用卡门”被推向了舆论的风口浪尖。
携程,你到底怎么了?
事件回放:乌云漏洞平台披露携程网安全漏洞
3月22日傍晚6点多,互联网漏洞报告平台乌云网发布了一则重磅消息——携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被任意骇客读取。
根据乌云的报告,漏洞泄露的信息包含用户姓名、身份证号码、银行卡号和类别、卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)、6位卡Bin(用于支付的6位数字)。换句话说,拥有了以上信息,就能完成整个上网的支付流程。
消息发布没过多久,携程网“信用卡门”就成为了口耳相传的热点话题。不少网友联系银行客服要求更换信用卡。“携程出了事以后,刚挂失完两个工行的,建行处理起来还比较麻烦,95533人工占线,三张在携程用过的银行卡准备全部注销!”网友“拐—五洞”说。
知名IT评论员“炳叔”调侃道:“感谢乌云——漏洞报告平台啊,炳叔终于感受到了携程五星级神速客服。(贫僧吐槽,携程在手、说走就走、走的最快是密码,1分钟之内,携程客服就神回复了)公关比程序员水平高,点个赞吧。”
携程致歉:没有泄漏用户信息,如有损失愿承担责任并赔付
3月23日早上7点多,携程在其官方微博上发布声明:“对于乌云平台发现的漏洞信息,携程非常重视。消息一经传出,我们连夜彻查,并在两小时内修复了这个漏洞。据排查,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响。事件发生后,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。”
在携程第一时间承认“安全漏洞”存在的同时,仍有客户在质疑“漏洞”是怎样产生的?携程方面称:“由于其技术人员之前为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前这些信息已全部删除。”
同时,携程网杭州分公司负责人向记者表示,仅漏洞发现人做了测试下载,内容包含极少量加密卡号信息,共涉及93名存在潜在风险的携程用户,并于昨天通知了相关用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。携程网杭州分公司表示,“只要没有接到携程客服换卡通知的用户,其个人信息均是安全的,无需担心。未来,如果因安全漏洞引起用户损失、携程将承担全部责任并给予赔付。”
各界声讨:携程记录支付数据行为遭质疑
记者查阅了银联2008年发布的《银联卡收单机构账户信息安全管理标准》,根据标准的2.1条,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期;另据标准8.1条,各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。
那么,携程为何会保留用户信用卡背面的CVV信息呢?
携程网杭州分公司相关负责人表示:“携程按照相关银行的支付规定,部分银行用户交易时,需提交CVV信息。用户授权后,携程会保存非CVV信息。未扣款成功的CVV信息会被暂存7天,目的是为了降低用户费力度与协助用户便捷支付。若用户未授权,所有相关信息在交易成功后将立即删除。未扣款成功的交易,将在7天内删除CVV信息。携程的做法,符合PCI-DSS(第三方支付行业数据安全标准)规定。携程对所有用户信息安全全权负责,如果因此产生任何风险及损失,携程将一律全额赔付承担。携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。”
“技术人员为了排查系统疑问,留下临时日志,因疏忽未及时删除”而造成“安全漏洞”,无疑是凸显了携程在“技术”和“管理”两个层面的隐患。未来携程如何保障用户的信息安全呢?
携程网杭州分公司相关负责人表示,为了更好地保障用户及网站的安全,未来一定杜绝此类人为因素。另外,携程将广邀信息安全卫士,一起来加固系统信息安全。上周,携程已经建立安全应急响应中心,共设立了总计500万的信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。同时,携程将邀请国际知名信息安全认证机构,来共同保障用户的个人信息安全。