携程的祸根其实早已埋下
“携程在手、说走就走”,现在成了跟着“走”的还有用户的信用卡支付信息。在 3 月 22 日乌云漏洞平台爆出携程的安全漏洞可导致用户个人和银行卡信息等泄露,包含持卡人姓名身份证、银行卡号、卡 CVV 码、6 位卡 Bin。
携程目前已经确认该漏洞,公司相关部门也已经在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作。携程网还表示,对于乌云平台发现的漏洞信息表示非常重视和感谢并将对于提供漏洞信息者给与重奖。对于此次漏洞事件如果有新的进展将持续通报。
这件看似是在昨日才被爆出的安全漏洞,其存在时间可能远超过大家的想象。早在今年 1 月 10 日 中国网财经频道的一篇新闻中,就已经对携程网的安全问题提出过质疑,但并未引起携程的重视,以至于在近期被爆出安全漏洞。
不妨回顾一下这篇文章,你会发现携程的祸根其实早已埋下
原文如下:
携程被指储存信用卡敏感信息存在泄露风险
日前,多名消费者向中国网财经中心反映,称在携程网购买产品时,只需进行简单的信息核对即可完成交易。消费者张先生称,自己持信用卡首次在携程网消费时,需提供信用卡卡种、卡号、有效期、CVV2 码(即信用卡验证码)等一系列完整信息,然后提交支付。“然而当我第二次在携程网使用这张信用卡时,只需提供卡号后四位及 CVV2 码,携程网就会完成这次支付操作。
如果当初(携程网)没有在系统中储存信息,它又是如何完成支付的呢?”张先生表示,如此“便捷”的操作让他对自己的信用卡安全倍感担忧,“只要知道这张信用卡卡号和 CVV2 码的人,就可以用它来消费,根本不需要任何动态或者其他形式的密码,我的资金安全该由谁来保障呢?”
还有消费者称,携程网的人工客服会向用户直接索要信用卡有效期、CVV2 码等敏感信息。中国网财经中心记者以电话购买机票为由,拨通了携程网客服电话,在支付环节,记者按语音要求输入信用卡卡号后,客服人员口头询问记者该信用卡的有效期及 CVV2 码,当记者提出上述敏感信息不方便透露时,客服人员表示“如不提供,就不能完成预定”,并强调携程网不会储存信用卡卡号信息。此外,记者在检索相关信息时发现,不少消费者遭遇过信用卡被盗刷的事件,金额从 2 万元至 500 万元不等。
银联明文禁存信用卡信息携程称系国际惯例
据业内人士介绍,信用卡信息主要包含卡号、有效期、CVV2 码等,其中打印在卡片签名区的 3 位 CVV2 码又被称作“第二密码”,掌握着该卡的交易授权,即只要提供正确的 CVV2 码,就能完成支付环节。中国网财经中心记者在中国银联风险管理委员会 2008 年发布的《银联卡收单机构账户信息安全管理标准》中看到如下表述:各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。
携程网华北区公关负责人在接受中国网财经中心记者采访时表示,携程网采用的信用卡支付方式符合国际惯例,“在多年前我们已经得到万事达、VISA 等卡组织的认证,由此可见,这些国际金融机构对携程网的的风险控制能力和安全保密能力是持认可态度的,否则他们也不会授权给我们。”
当记者追问携程网客服人员口头索要信用卡有效期、CVV2 码等敏感信息,如何保障内部员工不泄露时,这名负责人称此举也系国际通用做法,“公司既然使用这种方式,肯定对风险有足够的把控能力。”而对于记者提出的“携程网是否违反银联规定,在后台保存了用户信用卡相关信息”时,对方未予明确回答。
该负责人强调,携程网从未出现过信用卡盗刷案件,“因为我们主推的是旅游产品,预定时需要消费者提供身份证号码等个人信息,因此一旦盗刷,也能很快查出(嫌疑人)。”但有消费者向记者反映,盗卡人常常在网络论坛以售卖低价机票的方式,利用买家提供的身份证信息去完成消费,“即使警方查出机票实际使用人,人家也是被骗的受害者,如何追究责任呢?”
网站保存 CVV 就相当于偷偷配了你家的钥匙,这是携程无论如何都不该保存的信息。