携程系统漏洞或泄露信用卡信息
发布: 2014-3-24 22:02 | 编辑: 张家界 | 来源: 旅游门户 | 查看: 2144次
“究竟要不要换卡?”这个周末,不少驴友一直在纠结这个问题。原来上周六,国内知名漏洞报告平台乌云公布了携程支付系统漏洞,即携程安全支付日志可下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、所持银行卡类别、银行卡号、卡CVV码、6位卡Bin(用于支付的6位数字)。不少通过携程网定过旅行产品的人开始感到了不安。
两小时内修复相关问题
3月22日晚6时许,漏洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息,指出携程网安全支付日志可被遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin),并称该漏洞已经过携程确认。
该漏洞描述中提到,由于携程用于处理用户支付的安全支付服务器接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞。这一被归类为“敏感信息泄露”的高危害等级漏洞,被指可能导致大量携程用户持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
两小时后,携程回应称,这是在技术调试过程中出现了短时漏洞,携程在两小时内修复了这个漏洞。携程声明,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况。
携程同时承诺,未来如果因安全漏洞引起用户损失,将承担全部责任并给予赔付,并强调“用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响”。昨天下午,针对漏洞事件,携程再次发表申明,此次漏洞共涉及93名存在潜在风险的携程用户,客服已于昨天通知相关用户更换信用卡。但对于为何保存用户信用卡CVV码等信息,携程方面没有回应。
安全人士建议更换信用卡-到底要不要换信用卡?
从上周六晚上,就有很多网友在微信朋友圈和微博中纠结这一问题。有些人认为有必要换卡,因为一旦发生异国盗刷,讨要损失非常折腾。还有的人认为没有必要杞人忧天,因为信用卡消费有短信提醒,一旦发生可疑交易,会第一时间得到银行的消息。不过青年报记者了解到,这个周末,多家银行已接到部分曾在携程进行过支付的用户的换卡申请,不过更多的用户抱观望态度。
对此,一家国有银行上海分行信用卡中心的负责人认为,此次携程所泄露的银行卡信息已足以用于信用卡复制、克隆,风险等级很高,安全起见注销原卡更换新卡是最佳选择,若不想更换信用卡,市民今后需留心信用卡账单是否存在可疑消费记录,以及留意信用卡消费确认短信。
不少市民关心,若因此次信息泄露事件造成信用卡被盗刷,该如何向携程提出理赔?上海君悦律师事务所朱平晟律师认为,在还未发生损失的情况下,用户难以向携程提出维权要求。在损失发生后,相关机构会就具体情况进行调查以确定造成损失的责任方,市民只能根据责任方维权。