昨日,携程网被爆其系统存技术漏洞,导致个人信息,银行卡信息等泄露,为此,携程方面致歉用户,并回应称安全漏洞已修复,承诺如果有用户因该漏洞造成财产损失,携程将赔偿损失。
新京报讯 昨日,乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露。对此,携程当日晚间对新京报表示,已进行技术排查和修复。如用户因此产生损失,携程将赔偿。
乌云:
银行卡信息或被黑客读取
据乌云平台称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。乌云方面的报告称,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),上述信息有可能被黑客所读取。
据了解,乌云是一个位于厂商和安全研究者之间的安全问题反馈平台,此前多次发布国内企业信息系统的技术漏洞,推动企业进行漏洞修复。
携程:
尚未发现客户信息泄露及损失
对此,携程方面昨日晚间表示,在得知该消息后,公司即展开了技术排查并在消息发布两个小时内修复问题。携程称,对于乌云平台发现漏洞信息表示感谢,并将对于提供漏洞信息者给予奖励。对于此次漏洞事件,如有新进展,携程将持续通报。
同时,携程表示,可能受影响的为3月21日与3月22日的部分交易客户,目前尚没有发现因相关问题导致客户信息泄露及造成损失的情况发生。公司将继续进行网络安全的核查工作,如果有用户因该漏洞造成财产损失,携程将赔偿损失。
携程方面表示,经过连夜技术排查,公司已经在乌云网发现问题后的两小时内修复了这个漏洞,“经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。”
对于大家普遍担心的信用卡安全问题,携程透露,经过排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。
“携程客服已于3月23日通知这些用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。携程将给予这93名用户每人500元任我行礼品卡作为补偿。截至3月23日22:00,没有接到携程客服换卡通知的用户,个人信息均是安全的,无需担心。”携程方面表示。
分析
并未涉及支付宝
乌云技术人员方晓顿告诉记者,本次涉及的数据仅为部分信用卡信息,开通网上支付功能的银行卡和支付宝并不涉及。
“银行卡和支付宝在支付的时候都需要跳转到银行和支付宝页面,并且每次支付都需要输入卡号的密码,安全系数比较有保障。”上海万擎商务咨询有限公司CEO鲁振旺说。
据多位使用过信用卡支付的消费者介绍,很多电商平台在支付时只需要输入银行卡后4位和CVV码即可完成支付。鲁振旺说,这就说明,电商平台在服务器上保存了用户的关键信息,这是严重违规的行为。
影响:
用户被建议及时更换信用卡
携程旅行网作为在线旅游市场份额最大的服务商之一,上述漏洞的影响范围也较为庞大。对此,微博认证为“MediaV CTO,原Google技术总监”的网友“胡宁”说,用户信用卡信息泄露,并非犯低级技术错误这么简单。敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识。她认为,携程应该做的是立即提醒被影响用户换卡、道歉并赔偿用户因此导致的任何损失。
另有分析认为,存储用户CVV是不合理的,此次漏洞问题将对携程的品牌有所影响。晚间,部分微博网友就表示,将因此与携程“告别”,也有网友建议,使用信用卡在携程上进行过支付的消费者,应该立刻更换信用卡。
