|  客服中心  |  网站导航
当前位置: 首页 » 资讯 » 行业资讯 » 信息技术 » 信息安全 » 正文

携程被指违规获取用户信息 引发消费者换卡

放大字体  缩小字体 世科网   发布日期:2014-03-24  浏览次数:711
核心提示: 针对漏洞报告平台乌云日前指出携程信息安全漏洞问题,携程方面23日回应称,携程旅行网在技术调试过程中出现了短时漏洞,公司已在
        针对漏洞报告平台乌云日前指出携程信息安全漏洞问题,携程方面23日回应称,携程旅行网在技术调试过程中出现了短时漏洞,公司已在两小时内修复了这个漏洞,携程用户信息未受影响。不过,来自银行客服的信息显示,受上述事件影响,已开始有消费者陆续向银行要求换卡。有IT安全人士进一步指出,携程存在违规获取信用卡用户信息之嫌。 

  近日,乌云平台连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意骇客读取。安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡C V V码以及所持银行卡6位BIN (用于支付的6位数字)。 

  消息一出,携程方面随即展开技术排查。据携程排查,可能受影响的为3月21日与3月22日的部分交易客户,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响。 

  事件发生后,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。携程表示,未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付,而对于此次漏洞事件如果有新的进展也将持续通报。 

  记者了解到,受这一事件影响,已开始有消费者陆续向银行要求换卡。“据说这两天银行客服电话快被打爆了,周围朋友不放心,都在要求换卡。”上海的窦女士告诉记者。记者从多家银行客服方面了解到,已经有不少客户向银行反馈此情况,而银行方面也建议客户更换卡片。 

  “此次事件涉及持卡人信息安全问题,作为卡组织,银联对持卡人权益保护一直高度关注。我们第一时间与携程取得联系,正在了解事件的相关情况。”中国银联资深风险专家王宇表示,“根据目前了解到的情况,携程方面对此次事件原因的解释是,携程的技术开发人员为了排查系统疑问,留下了临时日志文件,因疏忽未及时删除,目前,这些信息已被全部删除。” 

  王宇称,希望携程严格按照与相关合作机构的协议约定,对本次信息泄露的状况真实、完整地反映给发卡机构,及时通报事件处置进展;请发卡机构尽快将相关信息反馈持卡人,保护持卡人信息和资金安全。同时银联也在联合携程和各商业银行共同研究进一步解决措施。银联建议,近期在携程使用过信用卡的持卡人,尽快与发卡银行取得联系,根据发卡银行给出的建议处理。 

  值得注意的是,该事件进一步引发市场人士对于携程违规获取用户信息的担忧。 

  有市场人士指出,携程记录用户支付信息的行为违反了银联2008年发布的《银联卡收单机构账户信息安全管理标准》。根据该标准的2.1条,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。根据标准8 .1条,各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。 

  “携程这次的问题是,不加密储存敏感信息,且在日志中保存了过多的不必要的信息。”一位支付行业人士向《经济参考报》记者表示“技术层面的缺陷有时候是不可抗的,但是涉及到违规存储用户信息这一规则上的漏洞,就事关道德风险,这是企业自身应该坚守的底线。” 

  据知情人士透露,携程此次用户信息泄露事件,可能是无线研发推进过快而变相导致的。该人士称,携程的安全漏洞,不是在W eb网页上的漏洞导致,而是无线部门在手机APP产品调试过程中,保存了日志并在Web.config开了目录遍历才出的状况。一位企业负责IT安全的人士告诉记者,利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险的行为。 

  对于上述情况,携程此前在接受媒体采访时表示,携程网采用的信用卡支付方式符合国际惯例。银行授权可做此支付交易的商户都是需要通过信用卡中心认证,均属于资质非常高的商户,安全性有保障,携程也是银行最早授权可以做此交易的商户之一。

 
  来源:经济参考报
文章出自: 世科网
本文网址: http://www.cgets.net/news/show-5168.html

声明:

1、本网转载作品目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。

2、凡来源注明“世科网”的所有作品,版权均属世科网所有,未经本网授权,不得转载使用。

3、如涉及作品内容、版权和其它问题,请在30个工作日内与本网联系,我们将在第一时间处理!

分享到:
5.31K
 
[ 资讯搜索 ]  [ ]  [ 告诉好友 ]  [ 打印本文 ]  [ 关闭窗口 ]

 
0条 [查看全部]  相关评论