|
||||
漏洞報告平臺烏雲網22日公告指出攜程安全支付日誌可下載,導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼等),有可能被黑客所讀取。昨日攜程方面承認是公司在技術調試過程中出現短時漏洞,目前沒有出現惡意下載有關數據和用戶信用卡被盜刷的情況,承諾未來倘若發生安全漏洞並引起用戶損失,攜程將給予全額賠付。
記者調查也發現,攜程違規超範圍存儲用戶信用卡信息,而爲了“徵得”用戶同意,部分網站則是以“常用卡”爲名徵存儲用戶的信息。有業內人士則指出,並非是低級技術錯誤這麼簡單,攜程系統一直就能看到用戶信息,雖然屏蔽了卡號卻顯示有效期和CVN2等信息。該事件也將令攜程股價承壓。
據瞭解,烏雲網指出攜程安全支付日誌可下載,導致包含持卡人姓名身份證、銀行卡號、卡CVV碼等大量用戶銀行卡信息泄露,還被爆某分站源代碼包可直接下載,涉及數據庫配置和支付接口信息。
在該漏洞被爆出後,昨日有攜程用戶表示,爲了以防萬一對信用卡做了掛失處理,部分用戶則是直接選擇更換了卡片。攜程方面表示,漏洞發現人做了測試下載,內容含有少量加密卡號信息,共涉及93名存在潛在風險的用戶,目前已經全部刪除。公司客服昨日開始通知用戶更換信用卡。
攜程方面承認,在技術調試過程中出現了短時漏洞,該漏洞受影響的用戶爲近期的部分交易客戶,但經過排查沒有出現惡意下載有關數據的情況。有分析指出,系統漏洞發生在21日和22日,在這兩日使用信用卡支付的消費者可能存在風險。
事件發生後攜程已經和各大銀行聯繫覈實,目前還沒有出現用戶信用卡被盜刷的情況。
“我們正在聯合攜程和各商業銀行共同研究進一步解決措施。”銀聯資深風險專家王宇表示。
卡CVV碼,是印在信用卡卡片上的一組檢查碼,用來驗證信用卡,根據不同類型的卡而印於卡的正面或背面,對於銀聯組織的銀聯標準卡使用的稱爲CVN2。
質疑一:
並非低級技術錯誤這麼簡單
對攜程的解釋,原Google技術總監胡寧認爲,用戶信用卡信息泄露並非犯低級技術錯誤這麼簡單,敏感信息需加密存儲、線上開調試功能需慎重、系統日誌要及時清理,這都是常識。
烏雲方面透露稱,攜程將用於處理用戶支付的服務接口開啓了調試功能,使所有向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器,同時因爲保存支付日誌的服務器未做嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取。
有業內人士表示,問題是出在他們想把銀行發出的驗證信息都直接保存到本地。胡寧認爲,根據事故報告,攜程可能並未故意存儲CVV信息,但其數據傳輸爲明文,且線上竟長時間打開調試功能,導致系統日誌中亦爲明文,又未及時清理,所存儲的服務器還有安全漏洞,一步錯,步步錯。
質疑二:
超範圍保留用戶信用卡信息
有業內人士爆料稱,在該漏洞爆出前攜程系統裏就已經能看到用戶信息,雖然屏蔽了卡號卻顯示有效期和CVN2,“銀聯相關標準嚴格要求商戶系統不得以任何方式存儲這些銀聯卡片敏感信息,有了這些數據,可以輕易僞造在線支付交易,客戶敏感信息和交易安全從何保證”。
對此,昨日攜程方面迴應稱,公司對CVV的處理符合行規,與國內外主流電商網站相符,所留存的用戶支付信息是經用戶授權後保存的,利於用戶日後的支付便捷,如果用戶沒有授權,攜程將不予保存。
根據中國銀聯風險管理委員會發布的《銀聯卡收單機構賬戶信息安全管理標準》,各收單機構系統只能存儲用於交易清分、差錯處理所必需的最基本的賬戶信息,不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。由此可見,攜程日誌中存儲的信息明顯超過該標準的允許範圍。汽車之家創始人李想則表示,“存儲了用戶信用卡的CVV,還泄露了,前一個是企業的基本道德問題,後一個是安全問題”。
質疑三:
以“常用卡”的名義存儲用戶信息
昨日,一家在線旅遊網站人士表示,不少網站都會讓用戶勾選保留常用卡信息,消費者初次使用的時候需提供信用卡卡種、卡號、有效期、CVV2碼(即信用卡驗證碼)等一系列完整信息,然後提交支付,但第二次使用這張信用卡時,只需提供卡號後四位及CVV2碼就會完成這次支付操作,這也變相證明了是在本地存儲了用戶的相關信用卡的信息。
記者登錄攜程也發現,在用戶選擇銀行卡支付後,會提示用戶是否保存至常用信用卡以便下次方便支付,但攜程並未提示會記錄信用卡的相關信息。
有業內人士表示,知道了CVV碼和信用卡卡號就差不多能進行離線支付,泄露後風險很大,而且這種操作也會被銀行視作是持卡人本人操作,部分盜取信息的人也可以用來註冊購買其他產品服務。
多家銀行表示免費補辦新卡
昨日,記者以顧客身份諮詢多家銀行的客服熱線獲悉,因攜程事件而需要更換卡片的用戶,多家銀行均免費補辦新卡。
招行客服人員表示:“如果是因爲擔心攜程支付日誌泄露的,我們可以免費補辦卡。”據瞭解,該行如果辦理卡片掛失補辦信用卡的,收費是60元;如果是損壞補辦的,收費是15元。該客服還表示,根據攜程公佈,目前有可能受影響的是3月21日與3月22日兩天有交易的,“如果不是這兩天消費的,是不用擔心的,不會受影響。”客服說。
建行的客服人員也表示,如果是因爲擔心攜程漏洞的,可以免費補寄新卡。
某銀行相關負責人告訴記者,“此次信息泄漏是電商支付系統問題,涉事消費者最好、最安全的辦法就是更換新卡。”
目前,銀行業尚未發現用戶信用卡被盜刷的情況。
消費提醒
昨日多家銀行客服建議消費者可以考慮換卡或者凍結,近日在攜程上使用信用卡交易過的有風險。部分消費者不願意更換信用卡,應儘快修改相關銀行卡密碼等信息,出現異常應儘快聯繫銀行、公司的官方客服電話。也應該設置網銀單筆消費額度,開通短信提醒等以降低風險。用戶信息被泄露後除了對財產安全造成影響外,消費者還需提防相關的詐騙短信。(記者索鼕鼕、林曉麗)