携程网信息安全门事件
发布日期:2014年3月233月22日晚,国内漏洞报告平台乌云披露:携程旅行网支付日志存在漏洞,用户银行卡信息可被黑客任意读取。一时间,公众对于隐私安全的敏感神经再一次被挑动。而互联网大数据应用的信息安全问题也被推至风口浪尖。
一名安全专家举例说明,黑客可以通过用户的手机号码、银行卡号和信用卡验证码注册第三方支付账号,从而跳过用户和银行绑定的手机,进行盗刷。“这些数据可以用来创建或关联第三方支付,国内第三方支付公司多达几百家,可以利用的点很多。受害者很容易出现资金被盗的情况。”据悉,目前携程已建立安全应急响应中心,并设立了信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。
携程高危害漏洞或致消费者信息泄露
乌云平台披露信息显示,“由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取”。据悉,这一被归类为“敏感信息泄露”的高危害等级漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
虽然携程方面公布,3月21日与3月22日的部分交易客户可能受到影响,但已有部分使用携程预定过机票和酒店的消费者为保险起见,选择立即挂失银行卡或者修改密码。许多携程会员担忧,在携程上绑定了信用卡或者用自己的信用卡交易过,那么信用卡的信息面临泄露的风险。而一旦用户信息已经泄露,携程是否补上漏洞对用户就没有什么意义了。
涉嫌违反信息安全管理标准
记者在中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》中看到如下表述:各收单机构系统只能存储用于交易清分、差错处理所必需的最基本账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码及卡片有效期。显然,携程网的做法已经明显违反了上述标准。
一名不愿具名的安全行业人士在接受《每日经济新闻》记者采访时认为, “携程网的做法明显是违规的,无论是否发生泄密,这是一种潜在的风险。尤其是携程披露的93名有可能受影响的用户,其银行卡信息已足以用于信用卡复制、克隆。”他建议,如果用户在一周内使用过携程,特别是21、22日两天的用户,可以选择换卡,并等待携程进一步公开的信息。“一年到一周之间的用户,个人认为风险并不大如果不冻结,那么可以选择开通消费短信提醒等信息,帮助加强安全管理。”
93名用户已接通知要求换卡
22日晚,乌云网发布消息提到,携程技术人员已经确认该漏洞,并在两小时内修复。对此,携程网表示,该漏洞受影响的用户为近期的部分交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现,用户在携程的交易仍旧安全。此外,如有用户因为该漏洞造成的财产损失,携程将给予赔偿。
昨日下午,携程网再次回应称,共有93名用户的支付信息存在潜在风险,已通知这些用户更换信用卡。据解释,漏洞是由于该公司技术开发人员排查系统疑问时未及时删除临时日志而产生的。目前,这些信息已被全部删除。 随后携程表示,客服人员于昨日通知相关用户更换信用卡,并称银行方面也会协助用户办理换卡手续。截至23日22:00,如果没有接到携程客服换卡通知的用户,个人信息便是安全的。
新闻来源每日经济新闻