“我已把信用卡挂失了,銀行服務人員知道此事件嚴重性,當我致電詢問時,立刻勸我挂失換卡號。你們誰在攜程刷過卡的也抓緊換吧。”熱播劇《金太狼的幸福生活》編劇娟子昨日的這段話,足以反映攜程用戶們有多恐慌。
前日晚間,國內漏洞研究機構烏雲平臺曝光稱,攜程系統開啟了用戶支付服務介面的調試功能,包括信用卡用戶的身份證、卡號、CVV碼等資訊可能被任意駭客竊取。此報告一齣,一石激起千層浪。很多攜程用戶趕緊到銀行解除綁定信用卡。攜程昨天最新回應稱,烏雲所曝資訊係此前技術人員未刪的臨時日誌,已在兩小時內修復,並已通知93名潛在風險用戶更換信用卡並適當補償,尚未發現攜程用戶信用卡被盜刷情況。
用戶:用攜程信用卡泄密?
“一大早剛開機,就收到我爸媽和朋友十幾條短信,全是問我綁定攜程的信用卡有沒有被盜刷。”昨天上午,在一家英語培訓機構做講師的李瑞來到招商銀行崇文門網點更換信用卡。他記得,第一次用信用卡在攜程網買機票時,需提供信用卡卡種、卡號、有效期、CVV碼等完整資訊,此後再買的話,只需提供卡號後四位及CVV碼就能支付了,“當時我光想著便捷,但沒想過攜程會儲存我的資訊,一旦洩露,我可就悲劇了”。
讓李瑞緊張的是烏雲平臺的最新報告。前日晚間,烏雲通報稱,攜程將用於處理用戶支付的服務介面開啟了調試功能,信用卡用戶的身份證、卡號、CVV碼等資訊有可能被任意駭客讀取。
攜程是目前國內最大的線上旅遊預訂機構,這一漏洞消息立即炸開了鍋。知名編劇六六也在個人微博上表示:“攜程應出詳細情況説明,哪些用戶受到影響須換卡,還是全部用戶,範圍有多大。以及風險發生的原因及應對措施,未來還會發生嗎?這些問題不解答,用戶會緊張。”
攜程:讓潛在風險用戶換卡
風口浪尖的攜程選擇了積極回應。烏雲曝出漏洞後,攜程很快回復稱,經技術排查在兩個小時內修復了漏洞。可能受影響的是3月21日和22日的部分交易客戶,將會持續更新調查情況。
昨天下午,攜程公佈的最新回應表示,經查,這一泄密資訊是攜程的技術人員此前為了排查系統疑問,留下了臨時日誌,因疏忽未及時刪除,目前,這些資訊被全部刪除。
那麼,這些資訊有沒有被駭客竊取?攜程稱,僅漏洞發現人做了少量的測試下載,內容含有極少量加密卡號資訊,共涉及93名存在潛在風險的攜程用戶,攜程昨天已通知他們更換信用卡,並補償每人500元禮品卡。“截至23日22時,沒接到攜程客服換卡通知的用戶,個人資訊均是安全的,無需擔心。”
攜程還通報稱,已和各銀行核實確認,並沒出現用戶信用卡被盜刷的情況。“攜程對所有用戶資訊安全全權負責,如因此産生任何風險及損失,攜程將全額賠付承擔。”攜程方面稱,攜程還設立了總額500萬元的資訊安全獎勵基金,獎勵為攜程找出漏洞的資訊安全衛士。
“攜程的官方回復不準確。”廣西易搜科技有限公司CEO嚴茂軍對記者説。他是攜程的鑽石級會員,綁定了三張信用卡。2月25日,其中兩張雙幣種信用卡在卡不離身的情況下被盜刷十幾筆。攜程客服當時明確説系統絕對安全。“被盜刷了約一萬多元人民幣。因是白金卡用戶,銀行給我72小時盜刷賠償,我自己沒損失。攜程的安全漏洞也許早就存在了。”不過,記者暫時無法證實嚴茂軍説法的真實性。
疑問:為何保存用戶CVV碼?
攜程的回應並沒法平息用戶們的質疑。很多用戶在攜程官方微博下面發問,為什麼要存貯用戶的CVV等資訊?
什麼是CVV碼?業內人士介紹,信用卡資訊主要包含卡號、有效期、CVV碼等,其中列印在卡片簽名區的3位CVV碼又被稱作“第二密碼”,掌握著該卡的交易授權,即只要提供正確的CVV碼,就能完成支付環節。
中國銀聯風險管理委員會《銀聯卡收單機構賬戶資訊安全管理標準》要求:“各收單機構系統只能存儲用於交易清分、差錯處理所必需的最基本的賬戶資訊,不得存儲銀行卡磁軌資訊、卡片驗證碼、個人標識代碼(PIN)及卡片有效期。”
“交易網站存CVV相當於小時工偷偷配了你家的鑰匙,同時,小時工還知道了關於你家所有的資訊。”汽車之家創始人李想第一時間在新浪微博上表示,攜程存了無論如何也不該存的CVV碼,這相當於把用戶信用卡的密碼存儲並泄漏了。這屬於企業的基本道德問題。
昨天下午,攜程方面回復稱,按相關銀行的支付規定,攜程的部分銀行用戶交易時需提交CVV資訊。用戶線上上線下信用卡下單時,系統會詢問是否保留相關資訊,用戶同意授權的話,攜程會保存非CVV資訊。未扣款成功的CVV資訊會暫存7天,目的是降低用戶費力度和協助用戶便捷支付。如果用戶不同意授權,所有相關資訊將在交易成功後立即刪除。如果是未扣款成功的交易,將在7天內刪除CVV資訊。“攜程的做法,符合PCI-DSS(第三方支付行業數據安全標準)規定,攜程一直按照國際信用卡支付安全標準要求加密保存信用卡資訊。”
專家建議
用戶也可開通短信提醒
中國旅遊研究院行業分析師楊彥鋒對記者説,目前未發現盜刷案例,表示該漏洞利用的情況不大。但攜程的錯在於不該存儲CVV碼。攜程在付款過程中需要記錄並轉發給銀行介面用戶資訊,但是記錄日誌,破壞了安全性。他建議,如果是近期使用過信用卡支付、卡額度或餘額高的攜程網用戶,建議換卡,也可開通消費短信提示服務,這樣及時了解信用卡的消費資訊。“這一事件,會造成客戶對攜程的信賴感下降,尤其是對高端商旅客戶的信賴感有影響。”記者 陳博
[責任編輯: 林天泉]