携程被曝出现支付安全漏洞 用户最好冻结或更换信用卡
漏洞可致信用卡核心信息泄露;目前尚未发现有用户受影响
漏洞报告平台乌云网22日晚间披露,国内著名旅游网站携程网出现安全漏洞,绑定了信用卡的旅客在支付过程中的调试信息可被任意骇客读取。携程官方随后宣布,漏洞已经在两个小时内修复,目前尚未发现有用户信用卡被盗刷,如日后发现有用户因此造成损失,携程将给予全额赔付。
■新快报记者 韩祯 黄晓嘉
A
或泄露用户信用卡信息
漏洞
该漏洞发现者称,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,部分向银行验证持卡所有者接口传输的数据包将直接保存在本地服务器。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
而所谓的遍历漏洞,通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的高危害等级漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。这些数据一旦被泄露,将会给用户资金安全带来风险。
漏洞消息曝出之后,不少网友大喊坑爹。有多名网友表示,此前在携程预订机票时只需要输入信用卡的后四位卡号,既不需要身份核对,也不用密码和验证码,交易就已经成功,让人感觉很不安全。
已通知有风险用户换卡
携程
在漏洞消息传出之后,携程官方当晚对外表态,经过携程方面排查,携程旅行网在技术调试过程中出现了短时漏洞,携程方面在得知漏洞信息后立即展开技术排查,并在两小时内修复了这个漏洞。
携程方面表示,根据目前排查,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响。
昨日14时,携程发表声明称,已经确定涉及93名存在潜在风险的客户,并有客服通知相关用户更换信用卡,此外,携程还和各大银行联系查询是否存在用户信用卡被盗刷的情况。携程表示,经过核实,可能受影响用户为3月21日与3月22日的部分交易客户,目前并没有出现有用户信用卡被盗刷的情况。携程承诺,未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。
C
记录用户支付信息违规
业内
虽然携程表示为此次安全漏洞负责,但携程方面记录客户支付数据的行为遭到了许多质疑。
有用户指出,携程记录用户支付信息的行为违反了银联2008年发布的《银联卡收单机构账户信息安全管理标准》,根据该标准,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。上述标准还规定,各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。
在漏洞曝光后,原谷歌[微博]技术总监胡宁在新浪微博上表示,此次事件并非低级技术错误,敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标等都是常识。此外,胡宁指出,根据乌云网的事故报告,可能携程并未故意存储CVV信息,但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞。对此,携程网回应称,后续如有任何进展,将及时通报。
而携程近日与万事达卡国际组织签署合作备忘录,拓展在品牌、支付领域的合作关系,通过联名卡、旅游优惠、电子钱包等计划,推动电子支付在旅游消费领域的创新应用。此次安全漏洞的发生,可能会对双方的合作蒙上阴影。
冻结或挂失相关信用卡
■安全提醒
携程虽然在两个小时内修复了漏洞,并表示目前尚未发现有用户信用卡被盗刷,但为了维护信用卡的安全,以防万一,建议用户尤其是3月21日、22日两天的用户,最好将相关信用卡冻结或挂失、更换。
1
不要外泄验证码
根据携程网的支付流程,用户在携程绑定信用卡后,初次使用需要提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,第二次在携程网使用同一张信用卡时,只需提供卡号后四位及CVV2码就可以完成支付操作。这意味着,只要知道用户持有的信用卡卡号和卡验证码的任意一人,就可以用来消费。因此,千万不要让他人知道信用卡的验证码。
2
冻结或挂失信用卡
新快报记者从一名银行业人士处了解到,如果用户担心自己的信用卡信息遭泄露,可以通过电话进行冻结或挂失,不过部分银行的电话挂失属于临时挂失,最稳妥的方式是电话挂失后去柜台办理。
3
换卡并设消费上限
另外有安全人士建议,如果在一周内使用过携程,特别是3月21日、22日两天的用户,可以选择换卡,并等待携程进一步公开的信息;超过一年以上未使用过携程的用户,信息遭泄露的风险并不大。但是如果用户有疑问,最好暂时申请冻结,如果不冻结,可以选择开通消费短信提醒等方式,帮助加强安全管理。此外,还建议用户设置网银单笔消费额度或者上限,开通短信或者微信提醒等方式以降低风险。
