攜程被指違規(guī)獲取用戶信息
支付信息泄露引發(fā)消費(fèi)者換卡
2014-03-24   作者:記者 韋夏怡/北京報(bào)道  來源:經(jīng)濟(jì)參考報(bào)
分享到:
【字號(hào)
  針對(duì)漏洞報(bào)告平臺(tái)烏云日前指出攜程信息安全漏洞問題,攜程方面23日回應(yīng)稱,攜程旅行網(wǎng)在技術(shù)調(diào)試過程中出現(xiàn)了短時(shí)漏洞,公司已在兩小時(shí)內(nèi)修復(fù)了這個(gè)漏洞,攜程用戶信息未受影響。不過,來自銀行客服的信息顯示,受上述事件影響,已開始有消費(fèi)者陸續(xù)向銀行要求換卡。有IT安全人士進(jìn)一步指出,攜程存在違規(guī)獲取信用卡用戶信息之嫌。
  近日,烏云平臺(tái)連續(xù)披露了兩個(gè)攜程網(wǎng)安全漏洞,漏洞發(fā)現(xiàn)者稱由于攜程開啟了用戶支付服務(wù)借口的調(diào)試功能,導(dǎo)致攜程安全支付日志可被任意駭客讀取。安全日志包含的信息包括:持卡人姓名、持卡人身份證、所持銀行卡類別(比如,招商銀行信用卡、中國銀行信用卡)、所持銀行卡卡號(hào)、所持銀行卡CVV碼以及所持銀行卡6位BIN(用于支付的6位數(shù)字)。
  消息一出,攜程方面隨即展開技術(shù)排查。據(jù)攜程排查,可能受影響的為3月21日與3月22日的部分交易客戶,除了漏洞發(fā)現(xiàn)人做了少量的測(cè)試下載并已全部刪除外,沒有出現(xiàn)惡意下載有關(guān)數(shù)據(jù)的情況,用戶在攜程的交易仍舊是安全的,用戶的信息安全沒有受到影響。
  事件發(fā)生后,攜程同各大銀行均取得聯(lián)系,經(jīng)核實(shí),目前也沒有出現(xiàn)用戶信用卡被盜刷的情況。攜程表示,未來倘若發(fā)生安全漏洞并引起用戶損失,攜程將給予全額賠付,而對(duì)于此次漏洞事件如果有新的進(jìn)展也將持續(xù)通報(bào)。
  記者了解到,受這一事件影響,已開始有消費(fèi)者陸續(xù)向銀行要求換卡。“據(jù)說這兩天銀行客服電話快被打爆了,周圍朋友不放心,都在要求換卡!鄙虾5母]女士告訴記者。記者從多家銀行客服方面了解到,已經(jīng)有不少客戶向銀行反饋此情況,而銀行方面也建議客戶更換卡片。
  “此次事件涉及持卡人信息安全問題,作為卡組織,銀聯(lián)對(duì)持卡人權(quán)益保護(hù)一直高度關(guān)注。我們第一時(shí)間與攜程取得聯(lián)系,正在了解事件的相關(guān)情況。”中國銀聯(lián)資深風(fēng)險(xiǎn)專家王宇表示,“根據(jù)目前了解到的情況,攜程方面對(duì)此次事件原因的解釋是,攜程的技術(shù)開發(fā)人員為了排查系統(tǒng)疑問,留下了臨時(shí)日志文件,因疏忽未及時(shí)刪除,目前,這些信息已被全部刪除。”
  王宇稱,希望攜程嚴(yán)格按照與相關(guān)合作機(jī)構(gòu)的協(xié)議約定,對(duì)本次信息泄露的狀況真實(shí)、完整地反映給發(fā)卡機(jī)構(gòu),及時(shí)通報(bào)事件處置進(jìn)展;請(qǐng)發(fā)卡機(jī)構(gòu)盡快將相關(guān)信息反饋持卡人,保護(hù)持卡人信息和資金安全。同時(shí)銀聯(lián)也在聯(lián)合攜程和各商業(yè)銀行共同研究進(jìn)一步解決措施。銀聯(lián)建議,近期在攜程使用過信用卡的持卡人,盡快與發(fā)卡銀行取得聯(lián)系,根據(jù)發(fā)卡銀行給出的建議處理。
  值得注意的是,該事件進(jìn)一步引發(fā)市場人士對(duì)于攜程違規(guī)獲取用戶信息的擔(dān)憂。
  有市場人士指出,攜程記錄用戶支付信息的行為違反了銀聯(lián)2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》。根據(jù)該標(biāo)準(zhǔn)的2.1條,各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、差錯(cuò)處理所必需的最基本的賬戶信息,不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期。根據(jù)標(biāo)準(zhǔn)8.1條,各類受理終端均不得存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼、卡片有效期等敏感賬戶信息。
  “攜程這次的問題是,不加密儲(chǔ)存敏感信息,且在日志中保存了過多的不必要的信息!币晃恢Ц缎袠I(yè)人士向《經(jīng)濟(jì)參考報(bào)》記者表示,“技術(shù)層面的缺陷有時(shí)候是不可抗的,但是涉及到違規(guī)存儲(chǔ)用戶信息這一規(guī)則上的漏洞,就事關(guān)道德風(fēng)險(xiǎn),這是企業(yè)自身應(yīng)該堅(jiān)守的底線!
  據(jù)知情人士透露,攜程此次用戶信息泄露事件,可能是無線研發(fā)推進(jìn)過快而變相導(dǎo)致的。該人士稱,攜程的安全漏洞,不是在Web網(wǎng)頁上的漏洞導(dǎo)致,而是無線部門在手機(jī)APP產(chǎn)品調(diào)試過程中,保存了日志并在Web.config開了目錄遍歷才出的狀況。一位企業(yè)負(fù)責(zé)IT安全的人士告訴記者,利用目錄遍歷攻擊漏洞,攻擊者能夠超過服務(wù)器的根目錄,從而訪問到文件系統(tǒng)的其他部分,訪問受限制文件或資源,或者采取更危險(xiǎn)的行為。
  對(duì)于上述情況,攜程此前在接受媒體采訪時(shí)表示,攜程網(wǎng)采用的信用卡支付方式符合國際慣例。銀行授權(quán)可做此支付交易的商戶都是需要通過信用卡中心認(rèn)證,均屬于資質(zhì)非常高的商戶,安全性有保障,攜程也是銀行最早授權(quán)可以做此交易的商戶之一。

    更迅速、更便捷閱讀深度解析、分享新銳觀點(diǎn),請(qǐng)掃描二維碼,關(guān)注經(jīng)濟(jì)參考報(bào)微信公共賬號(hào)。

  凡標(biāo)注來源為“經(jīng)濟(jì)參考報(bào)”或“經(jīng)濟(jì)參考網(wǎng)”的所有文字、圖片、音視頻稿件,及電子雜志等數(shù)字媒體產(chǎn)品,版權(quán)均屬經(jīng)濟(jì)參考報(bào)社,未經(jīng)經(jīng)濟(jì)參考報(bào)社書面授權(quán),不得以任何形式刊載、播放。
 
集成閱讀:
· 攜程為信用卡支付漏洞致歉:承諾如用戶損失全額賠付 2014-03-23
· 《中國電子商務(wù)用戶體驗(yàn)與投訴監(jiān)測(cè)報(bào)告》:信息泄露成電商行業(yè)潛在危機(jī) 2014-03-14
· 大數(shù)據(jù)時(shí)代個(gè)人信息泄露 隱私估賣百億 2013-10-31
· 攜程轉(zhuǎn)型無線端再陷裁員風(fēng)波 2013-09-24
· 去哪兒網(wǎng)指責(zé)攜程加價(jià)“倒賣”酒店近4000多單 2013-01-31
 
頻道精選:
·[財(cái)智]誠信缺失 家樂福超市多種違法手段遭曝光·[財(cái)智]歸真堂創(chuàng)業(yè)板上市 “活熊取膽”引各界爭議
·[思想]投資回升速度取決于融資進(jìn)展·[思想]全球債務(wù)危機(jī) 中國如何自處
·[讀書]《歷史大變局下的中國戰(zhàn)略定位》·[讀書]秦厲:從迷思到真相
 
關(guān)于我們 | 版權(quán)聲明 | 聯(lián)系我們 | 媒體刊例 | 友情鏈接
經(jīng)濟(jì)參考報(bào)社版權(quán)所有 本站所有新聞內(nèi)容未經(jīng)經(jīng)濟(jì)參考報(bào)協(xié)議授權(quán),禁止轉(zhuǎn)載使用
新聞線索提供熱線:010-63074375 63072334 報(bào)社地址:北京市宣武門西大街57號(hào)
JJCKB.CN 京ICP備12028708號(hào)