針對漏洞報告平臺烏雲日前指出攜程資訊安全漏洞問題,攜程方面23日回應稱,攜程旅行網在技術調試過程中出現了短時漏洞,公司已在兩小時內修復了這個漏洞,攜程用戶資訊未受影響。不過,來自銀行客服的資訊顯示,受上述事件影響,已開始有消費者陸續向銀行要求換卡。有IT安全人士進一步指出,攜程存在違規獲取信用卡用戶資訊之嫌。
近日,烏雲平臺連續披露了兩個攜程網安全漏洞,漏洞發現者稱由於攜程開啟了用戶支付服務藉口的調試功能,導致攜程安全支付日誌可被任意駭客讀取。安全日誌包含的資訊包括:持卡人姓名、持卡人身份證、所持銀行卡類別(比如,招商銀行信用卡、中國銀行信用卡)、所持銀行卡卡號、所持銀行卡C V V碼以及所持銀行卡6位BIN (用於支付的6位數字)。
消息一齣,攜程方面隨即展開技術排查。據攜程排查,可能受影響的為3月21日與3月22日的部分交易客戶,除了漏洞發現人做了少量的測試下載並已全部刪除外,沒有出現惡意下載有關數據的情況,用戶在攜程的交易仍舊是安全的,用戶的資訊安全沒有受到影響。
事件發生後,攜程同各大銀行均取得聯繫,經核實,目前也沒有出現用戶信用卡被盜刷的情況。攜程表示,未來倘若發生安全漏洞並引起用戶損失,攜程將給予全額賠付,而對於此次漏洞事件如果有新的進展也將持續通報。
記者了解到,受這一事件影響,已開始有消費者陸續向銀行要求換卡。“據説這兩天銀行客服電話快被打爆了,周圍朋友不放心,都在要求換卡。”上海的竇女士告訴記者。記者從多家銀行客服方面了解到,已經有不少客戶向銀行反饋此情況,而銀行方面也建議客戶更換卡片。
“此次事件涉及持卡人資訊安全問題,作為卡組織,銀聯對持卡人權益保護一直高度關注。我們第一時間與攜程取得聯繫,正在了解事件的相關情況。”中國銀聯資深風險專家王宇表示,“根據目前了解到的情況,攜程方面對此次事件原因的解釋是,攜程的技術開發人員為了排查系統疑問,留下了臨時日誌文件,因疏忽未及時刪除,目前,這些資訊已被全部刪除。”
王宇稱,希望攜程嚴格按照與相關合作機構的協議約定,對本次資訊洩露的狀況真實、完整地反映給發卡機構,及時通報事件處置進展;請發卡機構儘快將相關資訊反饋持卡人,保護持卡人資訊和資金安全。同時銀聯也在聯合攜程和各商業銀行共同研究進一步解決措施。銀聯建議,近期在攜程使用過信用卡的持卡人,儘快與發卡銀行取得聯繫,根據發卡銀行給出的建議處理。
值得注意的是,該事件進一步引發市場人士對於攜程違規獲取用戶資訊的擔憂。
有市場人士指出,攜程記錄用戶支付資訊的行為違反了銀聯2008年發佈的《銀聯卡收單機構賬戶資訊安全管理標準》。根據該標準的2.1條,各收單機構系統只能存儲用於交易清分、差錯處理所必需的最基本的賬戶資訊,不得存儲銀行卡磁軌資訊、卡片驗證碼、個人標識代碼(PIN )及卡片有效期。根據標準8 .1條,各類受理終端均不得存儲銀行卡磁軌資訊、卡片驗證碼、個人標識代碼、卡片有效期等敏感賬戶資訊。
“攜程這次的問題是,不加密儲存敏感資訊,且在日誌中保存了過多的不必要的資訊。”一位支付行業人士向《經濟參考報》記者表示“技術層面的缺陷有時候是不可抗的,但是涉及到違規存儲用戶資訊這一規則上的漏洞,就事關道德風險,這是企業自身應該堅守的底線。”
據知情人士透露,攜程此次用戶資訊洩露事件,可能是無線研發推進過快而變相導致的。該人士稱,攜程的安全漏洞,不是在W eb網頁上的漏洞導致,而是無線部門在手機A PP産品調 試 過 程 中 ,保 存 了 日 志 並 在Web .config開了目錄遍歷才出的狀況。一位企業負責IT安全的人士告訴記者,利用目錄遍歷攻擊漏洞,攻擊者能夠超過伺服器的根目錄,從而訪問到文件系統的其他部分,訪問受限制文件或資源,或者採取更危險的行為。
對於上述情況,攜程此前在接受媒體採訪時表示,攜程網採用的信用卡支付方式符合國際慣例。銀行授權可做此支付交易的商戶都是需要通過信用卡中心認證,均屬於資質非常高的商戶,安全性有保障,攜程也是銀行最早授權可以做此交易的商戶之一。
[責任編輯: 林天泉]