��������
前晚,國內知名漏洞報告平臺烏云公布了攜程支付系統漏洞,即攜程安全支付日志可下載,導致大量用戶銀行卡信息泄露,包含持卡人姓名、身份證、所持銀行卡類別、銀行卡號、卡CVV碼(防止信用卡被盜用的安全碼)、6 ...
前晚,國內知名漏洞報告平臺烏云公布了攜程支付系統漏洞,即攜程安全支付日志可下載,導致大量用戶銀行卡信息泄露,包含持卡人姓名、身份證、所持銀行卡類別、銀行卡號、卡CVV碼(防止信用卡被盜用的安全碼)、6位卡Bin(用于支付的6位數字),而這些信息一旦被不法分子掌握,攜程用戶的信用卡將被任意盜刷。
據相關知情人士介紹,攜程的確明文保存了用戶的機密信息,違反銀聯的相關規定。銀行人士表示,此次攜程所泄露的銀行卡信息,足以用于信用卡復制、克隆,風險等級很高,建議更換相關銀行卡。
攜程:未現惡意下載數據
攜程方面表示,前晚已展開技術排查并在消息發布兩小時內修復問題。據排查,除了漏洞發現人做了少量的測試下載并已全部刪除外,沒有出現惡意下載有關數據情況,用戶在攜程的交易仍舊安全。
據了解,前晚至昨天上午,多家銀行已接到部分曾在攜程進行過支付的用戶的換卡申請。據知情人士表示,此次攜程所泄露的銀行卡信息已足以用于信用卡復制、克隆,風險等級很高,建議更換相關銀行卡。
據相關知情人士介紹,攜程的確明文保存了用戶相關機密信息,已經違反銀聯的相關規定。同時,明文存儲用戶密碼等核心信息,在安全上非常危險并且做法業余。
為何保存CVV碼?攜程未回應
攜程表示,可能受影響的為3月21日與3月22日的部分交易客戶,目前尚沒有發現因相關問題導致客戶信息泄露及造成損失的情況發生。攜程承諾,未來倘若發生安全漏洞并引起用戶損失,攜程將給予全額賠付。
23日下午,攜程工作人士表示,此次漏洞共涉及93名存在潛在風險的攜程用戶,客服已通知相關用戶更換信用卡。
銀行卡的CVV碼被認為是無卡購物的最后一道防線,信息一旦遭到竊取,足以被用于信用卡盜刷。360首席隱私官譚曉生表示,CVV碼在用戶輸入后,會找相應的卡中心去進行驗證,在整個交易過程中,這個數據不應該被網站存下來。對于為何保存用戶信用卡CVV碼等信息,攜程方面沒有回應。
是否要換卡?如何向攜程理賠?
到底是否需要更換信用卡?不愿透露姓名的網絡安全人士告訴羊城晚報記者,此前已有攜程用戶對于攜程支付安全提出質疑,攜程回應稱攜程采用的信用卡支付方式符合國際慣例,且公司內部有足夠的風險把控能力。
“但從目前情況看,攜程的支付系統的確存在很多不確定性,風險程度很高。除了黑客盜取信息,公司內部對用戶信息管理情況也令人擔憂。”該人士提醒,安全起見注銷原卡更換新卡是最佳選擇,若不想更換信用卡,市民今后需留心信用卡賬單是否存在可疑消費記錄。不少市民關心,若因此次信息泄露事件造成信用卡被盜刷,該如何向攜程提出理賠?據知情人士表示,在還未發生損失的情況下,用戶難以向攜程提出維權要求。在損失發生后,相關機構會就具體情況進行調查以確定造成損失的責任方。
保存客戶信息違反銀聯規定
上海鼎力律師事務所孫建中律師表示,攜程保存客戶信息屬于違反銀聯的規定,如果將客戶資料出售則涉及違法,另外,從《消費者權益保護法》看,其技術手段未盡到保護消費者的義務。
根據銀聯2008年出臺的《銀聯卡收單機構賬戶信息安全管理標準》,銀行卡受理終端僅限于保存當前交易批次內用于交易清分所必需的基本信息要素,并在該批次結束后及時予以清除;各類受理終端均不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼、卡片有效期等敏感賬戶信息。
孫建中直言,此次漏洞事件中曝出攜程保存用戶銀行卡信息,這個做法欠妥,“這更多的是考慮經營者自身的經濟利益,而不是站在為客戶服務的角度”。
![](/portal/201403/24/201403pjnsn3azwww2drrn.jpg")
