3月22日晚间消息,漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历下载,可能导致大量用户银行卡信息泄露,包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin。 ...
3月22日晚间消息,漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历下载,可能导致大量用户银行卡信息泄露,包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin。
在拥有以上所泄漏信息的情况下,不法分子可以非常容易的进行信用卡盗刷。目前还不知道多少消费者受到此漏洞的影响。
该漏洞在乌云网上的等级被标记为高,该漏洞目前的状况是“厂商已经确认,细节仅向厂商公开”。
在厂商回复栏,携程官方表态是:
携程技术人员已经确认该漏洞,并在两小时内及时修复,对于乌云平台发现的漏洞信息表示感谢。该漏洞受影响的用户为近期的部份交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。携程旅行网始终对信息安全非常重视,对于此次漏洞事件如果有新的进展将持续通报。
其实关于携程储存用户敏感信息一事在年初的时候便有报道。中国网在2014年1月10日时便发表《携程网被疑储存用户信用卡信息,存在泄露风险》一文,质疑携程明文存储用户敏感信息一事。
该文如此描述消费者的担忧:
消费者张先生称,自己持信用卡首次在携程网消费时,需提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,然后提交支付。然而当我第二次在携程网使用这张信用卡时,只需提供卡号后四位及CVV2码,携程网就会完成这次支付操作。如果当初(携程网)没有在系统中储存信息,它又是如何完成支付的呢?
而当时携程的回答非常冠冕堂皇,携程网华北区公关负责人只是称携程网采用的信用卡支付方式符合国际惯例。
对于支付信息的存储,《银联卡收单机构账户信息安全管理标准》中有明确的规定。其中也包括如下条款:
各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。
而此次漏洞所泄漏信息显示,携程的确明文保存了用户相关机密信息,这明显已经违反了银联的相关规定。更糟糕的是,这样敏感的信息并没有被安全的存储,虽然目前还无法确认信息泄漏的范围,但信息被泄漏的可能已经被确认。
2011年12月22日,黑客在网上公开了知名网站CSDN的用户数据库。当时安全界便指出,明文存在用户密码等核心信息,是安全上非常危险并且业余的做法。时隔2年多,携程在被爆出此漏洞,可以说其安全体系非常脆弱。
消费者如果曾经通过携程进行消费,应该尽快修改支付密码等信息,以防不必要的损失。如果发生相关盗刷事件,应尽快通知银行进行报案,将可能的损失降到最低。
