“携程被曝漏洞可泄露支付信息”后续
在被指过度收集注册用户信息的两天后,携程昨日发布声明称,将不再保存客户的银行卡CVV信息,以前保存的CVV信息正在删除。
3月22日晚,乌云漏洞平台披露携程网存在安全漏洞信息。漏洞发现者称携程网支付过程中的调试信息可被黑客读取,导致持卡人姓名、身份证、银行卡号等信息泄露。当晚携程回应称,立即展开技术排查并在消息发布两个小时内修复问题。携程表示,可能受影响用户为3月21日、22日的部分交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发生。
此后,一些网络安全专家指出,携程保存用户银行卡的账号、CVV码等信息,是一种过度收集用户信息行为,这种行为可能造成用户银行卡的安全隐患,正确做法是让用户转到银行专门网站上输入相关敏感信息。对此,携程认为其做法符合第三方支付行业数据安全标准规定,不会给用户安全带来威胁。
携程的这一辩解迅速被中国银联及相关商业银行否认。早报记者昨天了解到,银联及相关监管部门与携程商谈此事,并达成整改意见。昨天携程表示,将会按照监管部门的要求,尽快优化完善用户的支付流程。加强内部排查所有可能存在漏洞,邀请国内知名网络安全专家对携程系统进行会诊。同时,携程已经启动了PCI和银联的认证程序,以期更好地符合监管要求。
在昨天的声明中,携程还表示,除了被曝出存在潜在风险的93名客户,其他所有的客户的信息在携程都是安全的。
携程还建立了信用卡安全服务小组,并表示未来如果因携程安全漏洞引起用户损失,携程将承担全部责任并给予赔付。