您的位置:中国台湾网  >  经贸  >  IT  > 正文

携程被指违规获取用户信息 引发消费者换卡

2014-03-24 09:07 来源:经济参考报 字号:       转发 打印

  针对漏洞报告平台乌云日前指出携程信息安全漏洞问题,携程方面23日回应称,携程旅行网在技术调试过程中出现了短时漏洞,公司已在两小时内修复了这个漏洞,携程用户信息未受影响。不过,来自银行客服的信息显示,受上述事件影响,已开始有消费者陆续向银行要求换卡。有IT安全人士进一步指出,携程存在违规获取信用卡用户信息之嫌。

  近日,乌云平台连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意骇客读取。安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡C V V码以及所持银行卡6位BIN (用于支付的6位数字)。

  消息一出,携程方面随即展开技术排查。据携程排查,可能受影响的为3月21日与3月22日的部分交易客户,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响。

  事件发生后,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。携程表示,未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付,而对于此次漏洞事件如果有新的进展也将持续通报。

  记者了解到,受这一事件影响,已开始有消费者陆续向银行要求换卡。“据说这两天银行客服电话快被打爆了,周围朋友不放心,都在要求换卡。”上海的窦女士告诉记者。记者从多家银行客服方面了解到,已经有不少客户向银行反馈此情况,而银行方面也建议客户更换卡片。

  “此次事件涉及持卡人信息安全问题,作为卡组织,银联对持卡人权益保护一直高度关注。我们第一时间与携程取得联系,正在了解事件的相关情况。”中国银联资深风险专家王宇表示,“根据目前了解到的情况,携程方面对此次事件原因的解释是,携程的技术开发人员为了排查系统疑问,留下了临时日志文件,因疏忽未及时删除,目前,这些信息已被全部删除。”

  王宇称,希望携程严格按照与相关合作机构的协议约定,对本次信息泄露的状况真实、完整地反映给发卡机构,及时通报事件处置进展;请发卡机构尽快将相关信息反馈持卡人,保护持卡人信息和资金安全。同时银联也在联合携程和各商业银行共同研究进一步解决措施。银联建议,近期在携程使用过信用卡的持卡人,尽快与发卡银行取得联系,根据发卡银行给出的建议处理。

  值得注意的是,该事件进一步引发市场人士对于携程违规获取用户信息的担忧。

  有市场人士指出,携程记录用户支付信息的行为违反了银联2008年发布的《银联卡收单机构账户信息安全管理标准》。根据该标准的2.1条,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN )及卡片有效期。根据标准8 .1条,各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

  “携程这次的问题是,不加密储存敏感信息,且在日志中保存了过多的不必要的信息。”一位支付行业人士向《经济参考报》记者表示“技术层面的缺陷有时候是不可抗的,但是涉及到违规存储用户信息这一规则上的漏洞,就事关道德风险,这是企业自身应该坚守的底线。”

  据知情人士透露,携程此次用户信息泄露事件,可能是无线研发推进过快而变相导致的。该人士称,携程的安全漏洞,不是在W eb网页上的漏洞导致,而是无线部门在手机A PP产品调 试 过 程 中 ,保 存 了 日 志 并 在Web .config开了目录遍历才出的状况。一位企业负责IT安全的人士告诉记者,利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险的行为。

  对于上述情况,携程此前在接受媒体采访时表示,携程网采用的信用卡支付方式符合国际惯例。银行授权可做此支付交易的商户都是需要通过信用卡中心认证,均属于资质非常高的商户,安全性有保障,携程也是银行最早授权可以做此交易的商户之一。

[责任编辑: 林天泉]

视 频
  1. 浙江惯偷钞票点烟被抓 称“穷得只剩钱”

    浙江惯偷钞票点烟被抓

      近日,浙江义乌一名男子在网上不断炫富,还用百元大钞点烟...

  2. 江宜桦重申彻查岛内油品市场

    江宜桦重申彻查岛内油品市场

    关注台湾食品油事件

股 市
台湾| 大陆
    台股17日开盘涨44点 为8538点
服务专区

投资流程办事指南往来手续联系我们Q&A

关于我们 | 本网动态 | 转载申请 | 投稿邮箱 | 联系我们 | 版权申明 | 法律顾问
京ICP证130248号 京公网安备110102003391
网络传播视听节目许可证0107219号
中国台湾网版权所有