携程“信用卡门”拷问互联网信息安全
- 2014-3-29 17:45:00
- 类型:原创
- 来源:电脑报
- 报纸编辑:邓晓进
- 作者:电脑报记者 熊雯琳
【电脑报在线】3月22日晚间,乌云漏洞平台发布报告称,携程统存技术漏洞,黑客可从中获取用户个人信息、银行卡号等信息。随后,携程方面承认了漏洞的存在,并表示已经通知有潜在风险的93名用户换卡。同时,携程还承诺倘若发生安全漏洞并引起用户损失,携程将予以全额赔付。
未经过PCI DSS认证,所以不安全?
涉及到安全无小事。携程“信用卡门”事件后,对于携程这家商业公司的流程和支付资质都成为人们关注的焦点。“PCI DSS”认证成为舆论热词,众多网友和媒体质疑携程,并没有经过“PCI DSS”认证,意味着携程不安全。
什么是PCI DSS认证?有了这个认证就万无一失了吗?
根据记者查阅的资料显示,“PCI DSS”,中文全称为支付卡产业数据安全标准。2006年,为了解决支付安全问题,visa、mastercard 、American Express、 Discover Financial Services、JCB 等全球5大国际卡组织创办了PCI安全标准委员会。通过审核并持续维护 PCI DSS标准的合规,可以有效降低网站发生数据泄露的风险,保护支付数据的存储和传输安全。国际卡组织把用户的信息进了严格分类。比如持卡人、卡号、姓名、有效期等都被分类。
目前,加入PCI DSS 标准的公司包括工商银行、中钞信用卡产业发展有限公司、小米移动软件公司、中国南方航空、去哪儿网、安利(中国)等五家公司,其中并没有携程。
携程对此的解释是,PCI DSS标准仅是上述商业公司联盟起来制定的标准,不是国家标准,不是行业标准,也不是市场通行标准,比如航空公司,中国只有南方航空加入了,但包括国航在内的公司并没有加入,携程不加入可以理解。
“即使通过PCI DSS认证也做不到100%绝对安全。”国内一位安全领域的权威人士对本报记者表示,此前,国外两家零售商Target和Neiman Marcus都是PCI DSS标准的合规企业,但都遭遇过黑客入侵,导致信息泄露。
要不要换卡?不换会不会被盗刷?
3月23日,对于平台漏洞致使用户信用卡信息泄露问题,携程网发布公告,表示漏洞已经修复,而可能存在风险的只有93名携程用户,已经安排换卡。
尽管如此,记者在社交网站上看到众多用户吐槽表示要换卡,尤其是那些近期在携程订过票的用户表示“很纠结”。
甚至有网友表示,招商银行的电话都被打爆了,银行客服在听到“携程”后,做出了“非常熟练而流利的回应”。
一位匿名的安全技术人员对本报记者表示,目前只有信用卡账单以及开通支付短信提醒这两种方式来查看自己的信用卡是否被盗刷。
如果用户信息泄露,企业负有赔偿责任。但是损失需要用户出具证明。携程表示,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。
对此,中国电子商务研究中心特约研究员、北京惠诚律师事务所律师赵占领表示,如果用户信息泄露,按照现行法律,企业负有赔偿责任。公司与用户之间具备合同关系,有保障用户信息安全的义务。如果没尽到义务,需要赔偿用户损失。但是损失需要用户出具证明,这一点不太容易做到。
“信用卡的盗刷问题不是第一天存在了,此前就有国际犯罪组织雇佣黑客攻击银行网站盗取信用卡信息,这个产业链价值不菲。”国内安全领域的某权威人士对本报记者表示。
某股份行信用卡部管理人员崔先生也表示,即使是商业银行也很难完全杜绝信用卡信息泄露,“我们有一个部门专门负责监控,但没有办法完全杜绝,因为银行自己也需要这方面的信息才能完成网上交易,不能排除被黑客截获破解的可能。”
此外,银行也会对用户的消费行为进行风险控制。一位银联互联网业务技术在接受媒体采访时表示,风险控制的方式主要包括安全控件码(网上提示的动态验证码)、动态密码、验证与预留手机号码是否一致,以及其他具体场景的判断,如连续刷卡出现异常交易、设定的交易限额等。
因此,假如此次有骇客盗取了用户信息,他也只能通过手机充值、购买游戏点卡等方式小规模地进行消费,但如果他连续通过信用卡进行这样的消费,会被银行记录和识别。但是这样盗取用户财产的成本会非常的高,所以并不实际。当然,双币信用卡被盗取后还可以注册一些海外电商网站进行消费。
国内商业企业安全意识普遍偏低?
2013年12月,CSDN、天涯社区、当当网、支付宝和京东相继出现数据被泄露事件;更早之前,有媒体曝料,搜狗浏览器也存在危机,使用QQ账号登陆搜狗浏览器,可以查看数千其他用户的个人账号,包括QQ、邮箱、支付宝、银行等涉及用户财产的账户信息,甚至可以直接进入其他人的支付宝进行转账购物乃至直接支付交易。
CNNIC最新数据显示,2013年因网上支付发生安全问题的网民数占整体上网人数的4.0%,影响人数达2010.6万人。其中,个人信息泄露比例达42.9%,账号密码被盗比例达23.8%。
在享受互联网与手机带来的便捷之时,人已经“透明”了。层出不穷的新型骗术、花样翻新的黑客木马,无一不在拷问着网络支付安全问题。
“创新永远伴随着风险,相关机构应提高自身安全技术业务;同时,希望更多宣传和普及用户安全意识教育”华美酒店顾问有限公司首席知识管理专家赵焕焱强调。
在孙未然看来,几乎每次支付领域的安全事件都是对商业公司的督促,而各个商业公司的安全意识也在逐渐加强。
中央财经大学中国银行业研究中心主任郭田勇在接受记者采访时表示,我国的金融、支付机构总体比较健康。郭田勇表示,不仅是互联网公司,线下像买房、酒店开房等交易,此前也多次暴露出泄露用户敏感信息的问题,这些问题属于内部管理或内控的问题。他认为,无论线上线下,国家应该对所有涉及公众信息的企业严格管理,或出台专门针对保护消费者个人信息的法律。
本文出自2014-03-31出版的《电脑报》2014年第12期 A.新闻周刊
(网站编辑:pcw2013)
读者活动
48小时点击排行
编辑推荐
论坛热帖
网站地图 | 版权声明 | 业务合作 | 友情链接 | 关于我们 | 招聘信息
报纸客服电话:4006677866 报纸客服信箱:pcw-advice@vip.sina.com 友情链接与合作:987349267(QQ) 广告与活动:675009(QQ) 网站联系信箱:cpcw@cpcw*.c*m
Copyright © 2006-2011 电脑报官方网站 版权所有 渝ICP备10009040号
报纸客服电话:4006677866 报纸客服信箱:pcw-advice@vip.sina.com 友情链接与合作:987349267(QQ) 广告与活动:675009(QQ) 网站联系信箱:cpcw@cpcw*.c*m
Copyright © 2006-2011 电脑报官方网站 版权所有 渝ICP备10009040号