22日,“攜程”被曝有洩露銀行卡資訊風險,隨後該公司回應“已修復”且網站仍安全。繼“酒店開房資訊遭洩露”“QQ用戶資訊秒查”“瀏覽器洩露用戶隱私”之後,用戶隱私安全的敏感神經再一次被挑動。用戶疑問,我們的隱私安全與信任還經得起多少個“攜程”事件?
3月22日,烏雲安全漏洞平臺公佈了關於“攜程安全支付日曆導致用戶銀行卡資訊洩露”的相關資訊。漏洞發現者指出,攜程將用於處理用戶支付的服務介面開啟了調試功能,使所有向銀行驗證持卡所有者介面傳輸的數據包均直接保存在本地伺服器。同時由於伺服器未做到嚴格的安全配置,使所有支付過程中的調試資訊面臨安全風險。
漏洞發現者列舉了洩露資訊類型,包括持卡人姓名、身份證號、持卡類別、卡號、CVV碼等資訊。業內人士指出,這些數據一旦被洩露,將會給用戶資金安全帶來風險。
數小時後,攜程旅行網官方微博回應稱,“漏洞”係該公司技術調試中的短時漏洞,並已在兩小時內修復。並稱,除了漏洞發現人做了測試下載且已刪除外,沒出現惡意下載的情況,攜程網站的資訊安全沒受到影響。
安全企業奇虎360首席隱私官譚曉生説,從已知資訊來看,仍不能準確斷定是否已經有大規模洩露發生,真正的情況只有當事企業自己清楚。
值得注意的是,此次事件中,攜程記錄了涉及用戶信用卡CVV碼等支付關鍵資訊。
譚曉生表示,如果網站為了提升用戶支付體驗,選擇記錄CVV等資訊,那麼,網站一定要明確告知,並獲得消費者許可。一旦記錄了這些資訊,企業就一定要妥善保管,並按約定及時銷毀,不做他用。“尤其是卡號、姓名、CVV等資訊,一旦洩露直接威脅用戶資金安全。”
實際上,從2013年開始,陸續有“資訊秒查”“隱私曝光”“洩露資料”等新聞見諸媒體。不少案例中,當事企業均表示沒有發生泄漏,消費者也只能相信企業説法。公眾困擾、擔憂最終也不了了之。長此以往,消費者的信任度、忠誠度難免受到影響。
“陸續有網際網路資訊安全隱患被曝光,説明部分企業並沒有把用戶隱私和數據安全放在很明確的位置,安全意識不足。”譚曉生指出,隨著越來越多的企業記錄用戶的隱私資訊、銀行卡資訊等,企業應當意識到,用戶隱私資訊是個“燙手的山芋”,一旦獲得必須做到妥善保管、嚴密自查。
業內專家表示,隱私安全部署應當被放在企業“生命線”的高度來重視,唯有此,才能安撫飽受刺激的消費者神經,才能重獲消費者的信任。(李崢巍、張舵)
[責任編輯: 楊麗]