携程风险控制被指出现疏忽 漏洞门漏出监管隐患

2014年03月29日 01:08  中国经营报 微博 收藏本文     

  数据双刃剑:携程漏洞门“漏”出监管隐患

  宋文明

  “在线预订酒店或旅游产品,不像其他电商买卖,支付完成交易就结束了。我们还需要对相应的资料进行确认和跟踪,因此行业里一般会保留用户的银行卡信息在7天左右。”

  日前,携程旅行网被曝系统存在安全漏洞,致使用户银行卡存在信息泄露的风险,这一事件迅速引发了市场反应,部分用户甚至恐慌退卡。

  而根据《中国经营报》记者的调查发现,携程的做法也是整个在线旅游业的“潜规则”,此举在提高用户使用便捷性的同时,却把安全隐患也深植其中,一旦引爆后果堪忧——携程的“漏洞门”事件或将给整个互联网行业带来新的发展不确定性。

  携程泄密

  携程承诺未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。

  3月22日晚,国内知名漏洞平台乌云网发布消息称:“携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取。”

  该平台发布的信息还显示,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV码(卡号、有效期和服务约束代码生成的3位或4位数字)、卡6位Bin(用于支付的6位数字)等非常敏感的内容。

  该消息迅速席卷更大社交网站,引发大量关注。“我需不需要去换卡?”很多使用过携程的人在微博、微信上发问。

  3月25日,携程有关负责人向记者表示,乌云报告出来后,携程立即展开技术排查,发现原因是携程的技术开发人员此前排查系统疑问留下了临时日志,因疏忽未及时删除。“事实上,我们在两个小时以内就已经修补了上述漏洞,并将相应信息全部删除。”该负责人说。

  但是,该“漏洞”引发的影响却在持续发酵。招商银行信用卡客服透露,有很多用户已就携程漏洞问题致电咨询,其中大部分已经采取立即注销原有信用卡、另行开通新卡的避险措施。

  上述负责人表示,经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。3月23日,携程已通知存在潜在风险的93名用户更换信用卡。经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况。

  而在随后发给记者的书面声明中,携程承诺未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。

  便捷与安全的两难

  在用户体验提高的同时,安全隐患却也如影随形。

  此次风波的一个焦点在于,携程记录了用户的CVV代码。CVV代码是指印在信用卡卡片上的一组检查码,它是进行网络和电话交易时的安全保障,属于高度机密的用户信息。

  “在离线交易模式下,只要掌握信用卡卡号、有效期、卡背上的3位CVV安全码等便可以完成交易,整个消费过程中不需要通过任何密码认证。”有银行方面人士表示,CVV码一旦泄露,会给用户的资金安全带来很大的盗刷风险。

  而按照相关规定,携程此举也属于违规操作。“携程在日志中存储的CVV码等信息,超过银联的允许范围。”上述银行人士表示,携程不是第三方支付机构,其无权保留银行卡信息,尤其是CVV代码的信息。

  “这件事情上,携程确有违规行为,但整个行业一直都是这么做的。”前述携程负责人表示。

  这跟在线旅游的业务特点有关, “在线预订酒店或旅游产品,不像其他电商买卖,支付完成交易就结束了。我们还需要对相应的资料进行确认和跟踪,因此行业里一般会保留用户的银行卡信息在7天左右。”上述负责人称。

  据了解,在线旅游行业是国内最早在机票和酒店领域实现信用卡预授权的行业,在支付宝[微博]和微信支付风靡以前,在线旅游行业几乎全部的机票、部分酒店、旅游度假以及其他产品都需要在线支付。作为国内最大的在线旅游预订机构,携程在用户体验方面更胜一筹,而这在一定程度上就有赖于CVV代码的保存。

  有业内人士进一步解释称,如客户在通过客服订机票的过程中,机票价格本身是一直在变化中的,另如客户订酒店以及用车,很多资料都需要一定的确认时间。CVV数据的保存,有利于流程更加迅速和便捷。

  但是,在用户体验提高的同时,安全隐患却也如影随形。地歌网CEO余德表示,携程存储如此海量用户的银行卡信息,出现监守自盗的问题怎么办?作为一家非专业的金融类公司,其是否真的有相应的技术实力和经验去保障信息安全?此外,用户即使之后出现信用卡被盗的情况,也很难确定被盗事件是否与携程有关系。

  这也是大多数用户的疑问,压力之下,3月25日傍晚,携程再发声明称,其将不再保存客户的CVV信息,所有的信息在交易完成后将被删除;以前保存的那些CVV信息,正在予以删除。

  监管缺失

  在数据安全上,互联网级别的能否匹配金融级别的是其中最大的问题。

  而透过携程“漏洞门”,整个互联网支付市场的安全状况也可见一斑。余德就表示,许多便捷支付都存在类似的风险。

  据统计,国内已经有200多家企业拿到了第三方支付的牌照,其中目前已经具有规模应用的有支付宝、财付通、百度[微博]钱包、网易宝等。

  其中移动支付因其便捷性已经吸引了海量用户,据支付宝官方说法,截至2013年11月支付宝绑定手机客户已经超过1亿人;除掉种种干扰数据,使用微信支付的人数也已经达到几千万的量级。

  “目前看来,携程漏洞事件本身没有造成用户的损失,但为其他的公司,包括诸多电商敲了一个警钟。”品友互动CTO沈学华表示,随着在线支付的日益普及,消费者心理对支付安全的担忧也在浮现,携程漏洞的出现,无疑加剧了这种不安。

  有支付行业技术高管亦表示,现在便捷移动支付前端风险主要来源于手机,中病毒、被监听、输入数据或者移动信号被劫持等,这个风险相对而言是容易掌控的;最大、最不易把握的风险出在企业端口,在数据安全上,互联网级别的能否匹配金融级别的是其中最大的问题。

  记者观察

  “说走就走”不容易

  “携程在手,说走就走。”竞争压力下,携程网将用户体验提到了前所未有的高度,其在技术和流程改造方面进行了“大跃进”式的跨步。有行业人士分析称,这也使得携程网在风险控制方面出现疏忽,从而出现了这一次用户数据泄露事件。

  携程模式出现之前,提供酒店和机票预订服务的公司都是区域性的,分散的服务方式让质量控制难以执行。1999年成立的携程正是找到了这一产业缝隙,并将其与互联网结合,这一创新也使其在在线旅游预订领域迅速获得成功。

  在很长一段时间里,携程的核心竞争力在于其高度规模化,以技术、体系和理念为支撑的服务流程,更在于其投入巨大人力物力搭建的“强大呼叫中心和电子商务平台”。但随着用户消费习惯的改变,包括主动搜索旅游产品,进行比价等,携程的优势受到去哪儿等新晋对手的巨大挑战。

  随着移动时代的到来,携程求变的思路越来越清晰。2013年,技术出身的梁建章[微博]回归携程,接替范敏担任董事会主席兼首席执行官,给外界带来一个信号,即携程已经决心在移动业务上发力,将公司的资源向移动业务倾斜。

  效果也很明显。来自艾瑞咨询[微博]的调查数据显示:在机票与酒店两大业务上,携程App分别以51.7%和37.7%的使用度,居于业界第一,而去哪儿和艺龙则紧随其后;而之前的APP新锐如“今夜酒店特价”等,则迅速被巨头挤到了尴尬的境地。在移动战场上,以前的经验和优势归零,用户体验是成为制胜关键。

  但是,高速的状态却也容易出离轨道,“短短的一年时间里,携程接连推出新的产品和举措,被速度裹挟的移动‘大跃进’,是此番携程‘漏洞门’的主因。”有行业人士认为,携程在小跑进入移动时代的同时,还需更加关注一些企业运营的基本要素,如风险控制等。

  但携程方面显然不认可上述说法。“这次发生的数据泄密仅仅是一个意外。”携程有关负责人表示,用户对便捷支付的安全性越来越担忧,而携程恰好在这个时间点上犯了个错,为这种担忧提供了一个宣泄的机会,仅此而已。

  或许,一次说走就走的旅行没有说的那么简单。

分享到:
收藏  |  保存  |  打印  |  关闭

已收藏!

您可通过新浪首页(www.sina.com.cn)顶部 “我的收藏”, 查看所有收藏过的文章。

知道了

0
猜你喜欢

看过本文的人还看过

收藏成功 查看我的收藏
  • 新闻山东平度征地被指五毒俱全:官商勾结
  • 体育CBA-哈德森准绝杀!新疆胜北京总分2-3
  • 娱乐传文章出轨恋姚笛 曝女方爱到无法自拔
  • 财经公务员养老金改革将按工龄补齐保险
  • 科技白银时代:关于90后创业者你不知道的事
  • 博客三峡工程坑了国人多少钱?
  • 读书优劣悬殊:抗美援朝敌我装备差距有多大
  • 教育极品男神老师胸肌诱人 学生称帅过都敏俊
  • 李飞:暴跌之下下周将现抄底良机
  • 石麒麟:面对下跌的投资策略思考
  • 杨剑波:量化交易应用主要分为三领域
  • 金戈:牛市崛起 A股历史上大战役
  • 谢百三:何以国6条未引起股市大涨
  • 钮文新:需制止金融空转
  • wu2198:下周A股涨幅或出人意料
  • 江濡山:习近平重塑“狮子”形象
  • 王吉绯:衡量互联网金融创新的维度
  • 易宪容:央行市场化改革面临巨大挑战