3月22日晚,乌云(WooYun)漏洞平台披露:携程旅行网支付日志存在严重漏洞,用户银行卡信息可被黑客任意读取,其中包含持卡人姓名身份证、银行卡号、卡CVV码等。
本报讯 (记者索冬冬)本报3月24日报道《携程被爆泄露用户银行卡信息》,质疑携程超范围保留用户信用卡信息。昨日携程方面称将不再保存客户的CVV(信用卡验证码)信息,以前保存的那些CVV信息正在予以删除。
所存信息超出允许范围
据了解,银行卡CVV码是卡号、有效期和服务约束代码生成的3位或4位数字,通常位于信用卡背面的卡号后位置。有业内人士表示,知道了CVV码和信用卡卡号就差不多能进行离线支付,泄露后风险很大。
根据银联相关规定标准,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期,携程此前存储的信息明显超过该标准的允许范围。
对于外界质疑未经过PCI DSS(支付卡产业数据安全标准)认证,昨日携程方面也表示已经启动了PCI和银联的认证程序,以期更好地符合监管要求。携程方面称,将会按照监管部门的要求,尽快优化完善用户的支付流程,加强内部排查所有可能存在的漏洞。
携程方面称已建立了信用卡安全服务小组,将协助客户与银行沟通,未来如果因携程安全漏洞引起用户损失,公司将承担全部责任并给予赔付。
对于网上流传盗刷携程账号的问题,携程方面称客户信用卡信息的传输和保存始终处于加密状态,任何未经授权的人员都无法取得这些资料,且携程旅行网的机票和度假等产品均为实名制产品,可以追溯到实际消费人。
业内人士:
国内公司多因成本考虑不愿PCI认证
“携程漏洞事件”引发社会关注,昨日,在线旅游平台去哪儿网对外表示,五大国际卡组织制定了一套保护持卡人数据的技术和操作的基本安全要求(PCI标准认证),可惜目前在国内,出于成本考虑,只有为数不多的企业通过了该项标准的合规评估和验证。
据安全审核机构atsec中国总经理刘岩(微博)介绍,“PCI DSS”中文全称为支付卡产业数据安全标准。它是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB五大国际卡组织)制定并维护的一套保护持卡人数据的技术和操作的基本安全要求措施。通过审核并持续维护PCI DSS标准的合规,可以有效降低网站发生数据泄露的风险,保护支付数据的存储和传输安全。
由于PCI认证是对消费者隐私信息加以保护的手段,消费者大多无法感知,而合规认证本身又极为严苛,所以从成本上和技术实力上考虑,不少公司都不愿做过多投入。去哪儿网CTO吴永强表示:“PCI标准的审核非常严格,且会落实到具体的技术实现细节,目前在国内,只有去哪儿网等为数不多的企业通过了合规评估和验证。”(薛松)