|
||||
攜程“漏洞門”銀行難逃干係
業內曝多家支付網站都有私存用戶信用卡信息問題
一個支付安全漏洞,讓知名旅遊網站攜程網成爲衆矢之的。事件曝光後,普通消費者一頭霧水:原本銀行才知道的客戶信用卡信息,如何被攜程網截留了?不用輸密碼就可完成的交易,究竟是怎樣完成的?
網站爲何會保留CVV碼
“安全門”事件暴露最大安全問題是用戶的CVV碼可能被泄露。CVV碼是由卡號、有效期和服務約束代碼生成3位或4位數字,一般寫在卡片磁條2磁道用戶自定義數據區裏面。無需密碼支付的方式也叫信用卡“離線交易”,僅憑卡號、CVV碼即可完成支付。
這麼重要的信息爲何會被攜程“截留”?攜程內部人士告訴記者,部分銀行用戶交易時,需提交CVV信息。用戶授權後,攜程會保存非CVV信息,若用戶未授權,所有相關信息在交易成功後將立即刪除。但其中有一種情況比較特殊,就是用戶交易支付了但因爲各種原因未扣款成功。出現這種情況時,如果用戶已經授權而未扣款成功的CVV信息會被暫存7天,目的是爲了使得消費者再次支付時快捷方便。
保留CVV不合法律規定
這種保留幾天CVV做法其實並不少見。記者瞭解到,不少在線支付網站也採用在支付未成功時保留客戶的CVV信息,雖然過後會刪除,但保留過程的這幾天內仍存在安全隱患。
那麼,商家暫時保留CVV碼合規嗎?在記者的採訪中,威諾律師事務所主任楊兆全表示,根據《中國銀聯支付結算規則》,商家不得記錄和保存客戶信用卡CVV號等敏感信息。這幾乎是一條鐵律,和保存時間長短無關。“和信息安全性相比,我寧願再次支付時麻煩一點。”一位消費者告訴記者,“在線支付後保留CVV相當於配了你家鑰匙,在離線交易模式下,便可以完成交易,這太可怕了。”
多網站都存安全隱患
銀率網分析師認爲,在攜程支付漏洞事件中,銀行負有不可推卸的責任。攜程網是與銀行達成了合作關係,得到了銀行的授權,即銀行向商戶提供便利,允許其在用戶不提供信用卡支付密碼、查詢密碼的前提下,實現支付。事實上,包括藝龍網、芒果網等在線訂票網站在內的商戶都存在違規存儲用戶信用卡信息的問題。如果只是攜程網等商戶單方違規操作,是無法實現支付的,因此銀行一方也脫不了干係。
該分析師指出,目前不少銀行信用卡相關部門對於攜程之類的品牌商戶存在信用卡支付信息審覈不嚴格的問題。雙方合作的具體內容是什麼,商戶是否爲此承擔更高的交易手續費或者以其他方式向銀行給予一定費用,不得而知;但可以確定的是,由這種“合作”導致的用戶信用卡信息泄露或盜用,銀行應負有不可推卸的責任。記者傅洋張品秋