針對漏洞報告平臺烏云日前指出攜程信息安全漏洞問題,攜程方面23日回應稱,,攜程旅行網在技術調試過程中出現(xiàn)了短時漏洞,,公司已在兩小時內修復了這個漏洞,攜程用戶信息未受影響,。不過,,來自銀行客服的信息顯示,受上述事件影響,,已開始有消費者陸續(xù)向銀行要求換卡,。有IT安全人士進一步指出,攜程存在違規(guī)獲取信用卡用戶信息之嫌,。
近日,,烏云平臺連續(xù)披露了兩個攜程網安全漏洞,漏洞發(fā)現(xiàn)者稱由于攜程開啟了用戶支付服務借口的調試功能,,導致攜程安全支付日志可被任意駭客讀取,。安全日志包含的信息包括:持卡人姓名、持卡人身份證,、所持銀行卡類別(比如,,招商銀行信用卡、中國銀行信用卡),、所持銀行卡卡號,、所持銀行卡CVV碼以及所持銀行卡6位BIN(用于支付的6位數(shù)字)。
消息一出,,攜程方面隨即展開技術排查,。據攜程排查,可能受影響的為3月21日與3月22日的部分交易客戶,,除了漏洞發(fā)現(xiàn)人做了少量的測試下載并已全部刪除外,,沒有出現(xiàn)惡意下載有關數(shù)據的情況,用戶在攜程的交易仍舊是安全的,用戶的信息安全沒有受到影響,。
事件發(fā)生后,,攜程同各大銀行均取得聯(lián)系,經核實,,目前也沒有出現(xiàn)用戶信用卡被盜刷的情況,。攜程表示,,未來倘若發(fā)生安全漏洞并引起用戶損失,,攜程將給予全額賠付,而對于此次漏洞事件如果有新的進展也將持續(xù)通報,。
記者了解到,,受這一事件影響,已開始有消費者陸續(xù)向銀行要求換卡,�,!皳f這兩天銀行客服電話快被打爆了,周圍朋友不放心,,都在要求換卡,。”上海的竇女士告訴記者,。記者從多家銀行客服方面了解到,,已經有不少客戶向銀行反饋此情況,而銀行方面也建議客戶更換卡片,。
“此次事件涉及持卡人信息安全問題,,作為卡組織,銀聯(lián)對持卡人權益保護一直高度關注,。我們第一時間與攜程取得聯(lián)系,,正在了解事件的相關情況�,!敝袊y聯(lián)資深風險專家王宇表示,,“根據目前了解到的情況,攜程方面對此次事件原因的解釋是,,攜程的技術開發(fā)人員為了排查系統(tǒng)疑問,,留下了臨時日志文件,因疏忽未及時刪除,,目前,,這些信息已被全部刪除�,!�
王宇稱,,希望攜程嚴格按照與相關合作機構的協(xié)議約定,對本次信息泄露的狀況真實,、完整地反映給發(fā)卡機構,,及時通報事件處置進展,;請發(fā)卡機構盡快將相關信息反饋持卡人,保護持卡人信息和資金安全,。同時銀聯(lián)也在聯(lián)合攜程和各商業(yè)銀行共同研究進一步解決措施,。銀聯(lián)建議,近期在攜程使用過信用卡的持卡人,,盡快與發(fā)卡銀行取得聯(lián)系,,根據發(fā)卡銀行給出的建議處理。
值得注意的是,,該事件進一步引發(fā)市場人士對于攜程違規(guī)獲取用戶信息的擔憂,。
有市場人士指出,攜程記錄用戶支付信息的行為違反了銀聯(lián)2008年發(fā)布的《銀聯(lián)卡收單機構賬戶信息安全管理標準》,。根據該標準的2.1條,,各收單機構系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息,,不得存儲銀行卡磁道信息,、卡片驗證碼、個人標識代碼(PIN)及卡片有效期,。根據標準8.1條,,各類受理終端均不得存儲銀行卡磁道信息、卡片驗證碼,、個人標識代碼,、卡片有效期等敏感賬戶信息。
“攜程這次的問題是,,不加密儲存敏感信息,,且在日志中保存了過多的不必要的信息�,!币晃恢Ц缎袠I(yè)人士向《經濟參考報》記者表示,,“技術層面的缺陷有時候是不可抗的,但是涉及到違規(guī)存儲用戶信息這一規(guī)則上的漏洞,,就事關道德風險,,這是企業(yè)自身應該堅守的底線�,!�
據知情人士透露,,攜程此次用戶信息泄露事件,可能是無線研發(fā)推進過快而變相導致的,。該人士稱,,攜程的安全漏洞,不是在Web網頁上的漏洞導致,而是無線部門在手機APP產品調試過程中,,保存了日志并在Web.config開了目錄遍歷才出的狀況,。一位企業(yè)負責IT安全的人士告訴記者,利用目錄遍歷攻擊漏洞,,攻擊者能夠超過服務器的根目錄,,從而訪問到文件系統(tǒng)的其他部分,訪問受限制文件或資源,,或者采取更危險的行為,。
對于上述情況,攜程此前在接受媒體采訪時表示,,攜程網采用的信用卡支付方式符合國際慣例,。銀行授權可做此支付交易的商戶都是需要通過信用卡中心認證,,均屬于資質非常高的商戶,,安全性有保障,攜程也是銀行最早授權可以做此交易的商戶之一,。
更迅速,、更便捷閱讀深度解析、分享新銳觀點,,請掃描二維碼,,關注經濟參考報微信公共賬號。
