近日,乌云平台连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意骇客读取。安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡C V V码以及所持银行卡6位BIN (用于支付的6位数字)。
消息一出,携程方面随即展开技术排查。据携程排查,可能受影响的为3月21日与3月22日的部分交易客户,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响。
事件发生后,携程同各大银行均取得联系,经核实,目前也没有出现用户信用卡被盗刷的情况。携程表示,未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付,而对于此次漏洞事件如果有新的进展也将持续通报。
记者了解到,受这一事件影响,已开始有消费者陆续向银行要求换卡。“据说这两天银行客服电话快被打爆了,周围朋友不放心,都在要求换卡。”上海的窦女士告诉记者。记者从多家银行客服方面了解到,已经有不少客户向银行反馈此情况,而银行方面也建议客户更换卡片。
“此次事件涉及持卡人信息安全问题,作为卡组织,银联对持卡人权益保护一直高度关注。我们第一时间与携程取得联系,正在了解事件的相关情况。”中国银联资深风险专家王宇表示,“根据目前了解到的情况,携程方面对此次事件原因的解释是,携程的技术开发人员为了排查系统疑问,留下了临时日志文件,因疏忽未及时删除,目前,这些信息已被全部删除。”
王宇称,希望携程严格按照与相关合作机构的协议约定,对本次信息泄露的状况真实、完整地反映给发卡机构,及时通报事件处置进展;请发卡机构尽快将相关信息反馈持卡人,保护持卡人信息和资金安全。同时银联也在联合携程和各商业银行共同研究进一步解决措施。银联建议,近期在携程使用过信用卡的持卡人,尽快与发卡银行取得联系,根据发卡银行给出的建议处理。
值得注意的是,该事件进一步引发市场人士对于携程违规获取用户信息的担忧。
有市场人士指出,携程记录用户支付信息的行为违反了银联2008年发布的《银联卡收单机构账户信息安全管理标准》。根据该标准的2.1条,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。根据标准8 .1条,各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。
“携程这次的问题是,不加密储存敏感信息,且在日志中保存了过多的不必要的信息。”一位支付行业人士向《经济参考报》记者表示“技术层面的缺陷有时候是不可抗的,但是涉及到违规存储用户信息这一规则上的漏洞,就事关道德风险,这是企业自身应该坚守的底线。”
据知情人士透露,携程此次用户信息泄露事件,可能是无线研发推进过快而变相导致的。该人士称,携程的安全漏洞,不是在W eb网页上的漏洞导致,而是无线部门在手机APP产品调试过程中,保存了日志并在Web.config开了目录遍历才出的状况。一位企业负责IT安全的人士告诉记者,利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险的行为。
对于上述情况,携程此前在接受媒体采访时表示,携程网采用的信用卡支付方式符合国际惯例。银行授权可做此支付交易的商户都是需要通过信用卡中心认证,均属于资质非常高的商户,安全性有保障,携程也是银行最早授权可以做此交易的商户之一。