超范围保留用户信用卡信息
业内人士称其不仅不安全而且不道德
继“酒店开房信息遭泄露”、“浏览器泄露用户隐私”等事件之后,“携程”又被爆有泄露用户银行卡信息风险。对此,携程方面称是公司在技术调试过程中出现短时漏洞。不过,业内专家则表示,并非低级技术错误这么简单,“存储了用户信用卡的CVV码,还泄露了,前一个是企业的基本道德问题,后一个是安全问题”。
本报讯 (记者索冬冬、林晓丽)漏洞报告平台乌云网22日公告指出携程安全支付日志可下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码等),有可能被黑客所读取。昨日携程方面承认是公司在技术调试过程中出现短时漏洞,目前没有出现恶意下载有关数据和用户信用卡被盗刷的情况,承诺未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。
记者调查也发现,携程违规超范围存储用户信用卡信息,而为了“征得”用户同意,部分网站则是以“常用卡”为名征存储用户的信息。有业内人士则指出,并非是低级技术错误这么简单,携程系统一直就能看到用户信息,虽然屏蔽了卡号却显示有效期和CVN2等信息。该事件也将令携程股价承压。
据了解,乌云网指出携程安全支付日志可下载,导致包含持卡人姓名身份证、银行卡号、卡CVV码等大量用户银行卡信息泄露,还被爆某分站源代码包可直接下载,涉及数据库配置和支付接口信息。
在该漏洞被爆出后,昨日有携程用户表示,为了以防万一对信用卡做了挂失处理,部分用户则是直接选择更换了卡片。携程方面表示,漏洞发现人做了测试下载,内容含有少量加密卡号信息,共涉及93名存在潜在风险的用户,目前已经全部删除。公司客服昨日开始通知用户更换信用卡。
携程方面承认,在技术调试过程中出现了短时漏洞,该漏洞受影响的用户为近期的部分交易客户,但经过排查没有出现恶意下载有关数据的情况。有分析指出,系统漏洞发生在21日和22日,在这两日使用信用卡支付的消费者可能存在风险。
事件发生后携程已经和各大银行联系核实,目前还没有出现用户信用卡被盗刷的情况。
“我们正在联合携程和各商业银行共同研究进一步解决措施。”银联资深风险专家王宇表示。
卡CVV码,是印在信用卡卡片上的一组检查码,用来验证信用卡,根据不同类型的卡而印于卡的正面或背面,对于银联组织的银联标准卡使用的称为CVN2。
质疑一:
并非低级技术
错误这么简单
对携程的解释,原Google技术总监胡宁认为,用户信用卡信息泄露并非犯低级技术错误这么简单,敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理,这都是常识。
乌云方面透露称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
有业内人士表示,问题是出在他们想把银行发出的验证信息都直接保存到本地。胡宁认为,根据事故报告,携程可能并未故意存储CVV信息,但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞,一步错,步步错。
质疑二:
超范围保留用户信用卡信息