当前位置:首页 > 新闻资讯 > IT业界 > 新闻
携程“信用卡门”拷问互联网信息安全
  • 2014-3-29 17:45:00
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:邓晓进
  • 作者:电脑报记者 熊雯琳
【电脑报在线】3月22日晚间,乌云漏洞平台发布报告称,携程统存技术漏洞,黑客可从中获取用户个人信息、银行卡号等信息。随后,携程方面承认了漏洞的存在,并表示已经通知有潜在风险的93名用户换卡。同时,携程还承诺倘若发生安全漏洞并引起用户损失,携程将予以全额赔付。
  3月22日晚间,乌云漏洞平台发布报告称,携程统存技术漏洞,黑客可从中获取用户个人信息、银行卡号等信息。随后,携程方面承认了漏洞的存在,并表示已经通知有潜在风险的93名用户换卡。同时,携程还承诺倘若发生安全漏洞并引起用户损失,携程将予以全额赔付。
  携程“信用卡门”到底是如何发生的?携程哪些地方做错了?针对这类第三方的订票和在线交易,用户还能否报以信任?互联网如何发达的今天,广大的用户如何在虚拟世界里何保护自己的个人信息和财产安全?
  

  
违反“禁止记录CVV”规定导致泄露?
  一个支付安全漏洞,让知名旅游网站携程网成为众矢之的。事件曝光后,普通消费者一头雾水:原本银行才知道的客户信用卡信息,如何被携程网截留了?不用输密码就可完成的交易,究竟是怎样完成的?
  3月22日18时许,乌云漏洞平台发布消息称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
  乌云报告称,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),有可能被黑客所读取。
  携程表示,已在22日当天进行技术排查,并在报告发布后的两小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
  这么重要的信息为何会被携程“截留”?携程内部人士告诉记者,部分银行用户交易时,需提交CVV信息。用户授权后,携程会保存非CVV信息,若用户未授权,所有相关信息在交易成功后将立即删除。但其中有一种情况比较特殊,就是用户交易支付了但因为各种原因未扣款成功。出现这种情况时,如果用户已经授权而未扣款成功的CVV信息会被暂存7天,目的是为了使得消费者再次支付时快捷方便。
  事实上,关于留存CVV码,各个市场执行的标准并不一样,再比如在美国市场,Target、Best buy 、亚马逊进行信用卡支付时等公司同样要求留存CVV码,但在中国,银联要求信用卡支付不能留存CVV码。
  我国《银联卡收单机构账户信息安全管理标准》规定,“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”
  在某安全公司CEO孙未然看来,CVV码相当于信用卡的第二密码,不应该被存储下来。而从携程的报告来看,携程存储用户的信息有点太多了。“看起来好像是很方便,但实际上为安全留下了隐患。”
  而国内某大型在线旅游服务商技术工程师也表示,对于个人支付信息,互联网公司的处理是必须加密的。这些信息的交易日志会短期停留在公司系统中,在处理完相关交易后,系统会删除这些信息。如果开发人员需要调取测试,看到的数据也是加密过的,并不可能直接看到用户的姓名、卡号、密码等。
  此外,孙未然认为携程在流程上的不合理也导致了这次泄露事件的发生。“一般来说,商业公司应该在内部比较封闭的环境里去做开发和测试,涉及到运营层面应该有一套更安全的流程,将实际运营的环境和开发的环境隔离开。”孙表示。
  MediaV CTO,原谷歌技术总监胡宁也认为,携程犯的错在于,敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这些都是常识。

本文出自2014-03-31出版的《电脑报》2014年第12期 A.新闻周刊
(网站编辑:pcw2013)


我来说两句(0人参与讨论)
发表给力评论!看新闻,说两句。
匿名 ctrl+enter快捷提交
读者活动
48小时点击排行
论坛热帖