攜程資訊洩露事件給信用卡網上無卡支付敲響警鐘

發表於 2014-03-25 23:58 | 來源:互聯網

攜程昨天發表致歉聲明並承諾,未來倘若發生安全性漏洞並引起用戶損失,將給予全額賠付。業界頗具影響力的烏雲漏洞平臺前晚發佈消息稱,攜程系統存技術漏洞,可導致使用者個人資訊、銀行卡資訊等洩露。業內人士表示,這次資訊洩露事件給信用卡網上無卡支付敲響了警鐘。

(說起攜程這次曝出的漏洞,在雲安全聯盟上海區聯席主席沈勇看來,技術上十分低級,相當於讓一台伺服器在互聯網上裸奔。

攜程資訊洩露事件給信用卡網上無卡支付敲響警鐘

【它有一台週邊伺服器上的配置不是做得很好,所以別人可以在這個伺服器上看見檔,本來是看不見的,看見的這些檔呢,他正好發現這些檔裡面包含有一些內容,這些內容不應該存在那個地方,這個就是說攜程錯存了一些它不合適存的資料。】

這些敏感性資料包括信用卡的CVV碼,也就是信用卡背面簽名欄最後3位元印在卡片上的號碼。信用卡網上無卡支付就需要驗證CVV碼。攜程在國內較早引入這種支付方式,用於預訂機票酒店等,對用戶極為便利。但招商銀行信用卡部總經理劉加隆表示,這種便利是以安全風險為代價的,他建議持卡人用信用卡網上支付時儘量選擇銀行標識,也就是在銀行端,而不是商戶本機伺服器上完成支付交易。

【對於客人來說,安全和便利是一對矛盾。無卡支付提供了一個便利,但是它可能客人有擔心。那在客人最大的一個分辨,就是那個轉接是不是跳轉回銀行的網頁,如果是跳轉回銀行的網頁,那所有的資訊都是在銀行端,核心的資料它沒有被送出去。】

不過在支付方面,攜程有其特殊性:用戶都是用信用卡實名制預訂機票和酒店,沒有哪個小偷會愚蠢到盜刷人家的信用卡支付自己相關服務的費用,自投羅網。而在購物網站用信用卡無卡支付另當別論。幾年前,上海銀監局曾對此做過專項調研,提示過潛在風險。

來自攜程方面的消息顯示,技術部門獲知漏洞存在後連夜排查。攜程公關經理賀靜說:

【得到這個資訊之後,3月22號的晚上我們就立刻展開了技術排查,就在兩小時之內修復了這個漏洞。經過我們的排查發現,漏洞發現人他做了一個測試的下載,內容就是含有非常少量的加密卡號的資訊,一共涉及93名有潛在風險的攜程用戶。】

對於這93名疑似遭遇資訊洩露使用者,攜程方面做了應急處理。

【客服人員今天已經通知了相關的用戶,更換信用卡,銀行方面也會儘快地協助用戶辦理換卡的手續,所有換卡的費用由攜程來承擔。】

也就是說,如果攜程使用者還沒有接到電話通知,理論上不必擔心資訊遭洩露。)

【播】儘管目前攜程資訊洩露事件還沒有造成實質性的損失,但有銀行業內人士擔心,怕就怕漏洞出現在攜程,半年一年後再出現盜刷事件,持卡人不知道原委,板子打在銀行身上。

其實不管是攜程還是銀行,隱私安全部署應當放在企業“生命線”的高度來重視,只有這樣,才能安撫飽受刺激的消費者神經,才能重獲消費者的信任。另外,由於消息爆出正值週末,目前還無法評估事件對攜程股價影響。

Related Posts Plugin for WordPress, Blogger...
喜歡 A096生活風向標 的文章,那就通過 RSS Feed 功能訂閱閱讀吧!

返回首頁 | 關於我們 | 版權聲明 | 廣告合作 | 友情鏈接 | 聯繫我們