携程的祸根其实早已埋下

标签: 携程 其实 | 发表时间:2014-03-23 16:02 | 作者:
出处:http://news.cnblogs.com/

携程的祸根其实早已埋下

“携程在手、说走就走”,现在成了跟着“走”的还有用户的信用卡支付信息。在 3 月 22 日乌云漏洞平台爆出携程的安全漏洞可导致用户个人和银行卡信息等泄露,包含持卡人姓名身份证、银行卡号、卡 CVV 码、6 位卡 Bin。

携程目前已经确认该漏洞,公司相关部门也已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。携程网还表示,对于乌云平台发现的漏洞信息表示非常重视和感谢并将对于提供漏洞信息者给与重奖。对于此次漏洞事件如果有新的进展将持续通报。

这件看似是在昨日才被爆出的安全漏洞,其存在时间可能远超过大家的想象。早在今年 1 月 10 日 中国网财经频道的一篇新闻中,就已经对携程网的安全问题提出过质疑,但并未引起携程的重视,以至于在近期被爆出安全漏洞。

不妨回顾一下这篇文章,你会发现携程的祸根其实早已埋下

原文如下:

携程被指储存信用卡敏感信息存在泄露风险

日前,多名消费者向中国网财经中心反映,称在携程网购买产品时,只需进行简单的信息核对即可完成交易。消费者张先生称,自己持信用卡首次在携程网消费时,需提供信用卡卡种、卡号、有效期、CVV2 码(即信用卡验证码)等一系列完整信息,然后提交支付。“然而当我第二次在携程网使用这张信用卡时,只需提供卡号后四位及 CVV2 码,携程网就会完成这次支付操作。

如果当初(携程网)没有在系统中储存信息,它又是如何完成支付的呢?”张先生表示,如此“便捷”的操作让他对自己的信用卡安全倍感担忧,“只要知道这张信用卡卡号和 CVV2 码的人,就可以用它来消费,根本不需要任何动态或者其他形式的密码,我的资金安全该由谁来保障呢?”

还有消费者称,携程网的人工客服会向用户直接索要信用卡有效期、CVV2 码等敏感信息。中国网财经中心记者以电话购买机票为由,拨通了携程网客服电话,在支付环节,记者按语音要求输入信用卡卡号后,客服人员口头询问记者该信用卡的有效期及 CVV2 码,当记者提出上述敏感信息不方便透露时,客服人员表示“如不提供,就不能完成预定”,并强调携程网不会储存信用卡卡号信息。此外,记者在检索相关信息时发现,不少消费者遭遇过信用卡被盗刷的事件,金额从 2 万元至 500 万元不等。

银联明文禁存信用卡信息携程称系国际惯例

据业内人士介绍,信用卡信息主要包含卡号、有效期、CVV2 码等,其中打印在卡片签名区的 3 位 CVV2 码又被称作“第二密码”,掌握着该卡的交易授权,即只要提供正确的 CVV2 码,就能完成支付环节。中国网财经中心记者在中国银联风险管理委员会 2008 年发布的《银联卡收单机构账户信息安全管理标准》中看到如下表述:各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。

携程网华北区公关负责人在接受中国网财经中心记者采访时表示,携程网采用的信用卡支付方式符合国际惯例,“在多年前我们已经得到万事达、VISA 等卡组织的认证,由此可见,这些国际金融机构对携程网的的风险控制能力和安全保密能力是持认可态度的,否则他们也不会授权给我们。”

当记者追问携程网客服人员口头索要信用卡有效期、CVV2 码等敏感信息,如何保障内部员工不泄露时,这名负责人称此举也系国际通用做法,“公司既然使用这种方式,肯定对风险有足够的把控能力。”而对于记者提出的“携程网是否违反银联规定,在后台保存了用户信用卡相关信息”时,对方未予明确回答。

该负责人强调,携程网从未出现过信用卡盗刷案件,“因为我们主推的是旅游产品,预定时需要消费者提供身份证号码等个人信息,因此一旦盗刷,也能很快查出(嫌疑人)。”但有消费者向记者反映,盗卡人常常在网络论坛以售卖低价机票的方式,利用买家提供的身份证信息去完成消费,“即使警方查出机票实际使用人,人家也是被骗的受害者,如何追究责任呢?”

网站保存 CVV 就相当于偷偷配了你家的钥匙,这是携程无论如何都不该保存的信息。

本文链接

相关 [携程 其实] 推荐:

携程的祸根其实早已埋下

- - 博客园_新闻
“携程在手、说走就走”,现在成了跟着“走”的还有用户的信用卡支付信息. 在 3 月 22 日乌云漏洞平台爆出携程的安全漏洞可导致用户个人和银行卡信息等泄露,包含持卡人姓名身份证、银行卡号、卡 CVV 码、6 位卡 Bin. 携程目前已经确认该漏洞,公司相关部门也已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作.

“携程们”的危机

- - 派代网 - 资讯
今年的在线旅游市场,热度绝对不逊于电子商务的任何一个领域. 继6月份艺龙、芒果网、酷讯网和途牛网等在线旅游网站陆续推出“返利促销”优惠活动之后,在线旅游行业老大携程也加入了这场混战:7月6日,携程宣布投入5亿美元(约合32亿元人民币)开展低价促销,促销活动从7月起持续一年时间,涉及酒店、机票和旅游门票等,并宣称此次促销将“拉开国内在线旅游业以价格战为前奏的洗牌大幕”.

爬取携程信息

- - IT瘾-geek
print("评分为:{}".format(userRating)). print("评论内容为:{}".format(commentText)) '''. 数据库操作 ''' #获取数据库链接 connection = pymysql.connect(host = 'localhost',.

干货 | 携程图片服务架构

- -
胡健,携程框架高级研发经理,目前负责多媒体服务的构建和研发工作. 近些年携程业务突飞猛进,用户遍及世界各地. 公司对用户体验也越来越重视,每一个小的功能改动、页面改版的背后,都有大量的A/B实验提供保障. 与此同时,与用户体验息息相关的媒体文件的应用质量也被放到重要位置,如图片加载延时、成功率、清晰度等数据.

携程Mock本地化实践

- - InfoQ推荐
这里说的Mock指的是系统测试或者接口测试场景下,模拟被依赖的其他服务接口进行响应返回的工具. 测试人员通过服务接口级Mock的手段隔绝真实外部依赖,创造可控、稳定的测试运行环境,以提升问题的查全率和查准率. 然而,随着业务的发展和微服务化的进程,我们系统的结构越发的庞杂,Mock工具的实际效果开始变得差强人意.

名副其实的脸书

- Hua - 设计|生活|发现新鲜
谁说脸书是虚拟的社交网络,现在已经没有完全的虚拟啦,你敢说你没有因为他或她在虚拟网络上改变的签名而辗转难眠. 何况这次的脸书是名副其实的,荷兰CPNB (CollectivePromotion Dutch Literature)每年都会举办书展来推广文学,当然每年主题各不相同. 这次的主题是自传「(auto)biology」.

创新其实很容易

- - 百度MUX
创新区分了领袖和众人-乔布斯. 移动互联网时代,各式的app如决堤之潮般汹涌而出,与此同时创新的交互体验也被提到风口浪尖. 若无创新,你的app很快就会被淹没,不会为用户所记忆或使用. 移动产品的交互设计师如不具备创新意识,不去探寻新的交互体验模式,则将沦为成功交互模式的临摹者. 然而创新的灵感来自何处,面对海量的相似app你是否会觉得创意枯竭.

关于携程的信用卡信息泄露

- - 博客园_新闻
可能很多朋友比较关心昨天乌云爆出的携程信用卡信息泄露的漏洞. 具体过程我就不赘述了,因为明天肯定是铺天盖地的新闻. 媒体是不会放过这样的机会的,虽然他们可能并不了解真正发生了什么. 但媒体的动作却放大了这件事情的负面效应,不知道明天携程的股价会不会因此受影响. 这次的事件很多评论文章都没有提到 PCI-DSS 标准,其实通过这个简单的维度就可以判断哪篇评论靠谱,哪篇不靠谱.

【另一面】携程网暴露的不止是安全漏洞

- - 网易新闻·有态度专栏
【另一面】携程网暴露的不止是安全漏洞. 60 秒读懂专题:携程网暴露的不只是安全漏洞,还有谎言、不遵循行业数据安全标准、不实在的承诺、违背银联的规定. 但尽管如此,携程网在中国无法被实质惩处. 而相似案例中的索尼公司被英国官方罚款. 导语:3月22日晚,漏洞报告平台“乌云网”在其官网上公布了一条网络安全漏洞信息,指出携程网安全支付日志可遍历下载,能导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV码、卡6位Bin码.

携程App的网络性能优化实践

- - 博客园_知识库
  首先介绍一下携程App的网络服务架构. 由于携程业务众多,开发资源导致无法全部使用Native来实现业务逻辑,因此有相当一部分频道基于Hybrid实现. 网络通讯属于基础&业务框架层中基础设施的一部分,为App提供统一的网络服务:. Native端的网络服务.   Native模块是携程的核心业务模块(酒店、机票、火车票、攻略等),Native模块的网络服务主要通过TCP连接实现,而非常见的Restful HTTP API那种HTTP连接,只有少数轻量级服务使用HTTP接口作为补充.