携程泄露用户支付信息 涉及93名用户
携程被曝泄露用户支付信息
继如家等连锁酒店被曝出泄露客人信息后,又一家大型企业被指泄密客户信息。《第一财经日报》昨日获悉,携程(CTRP.NASDAQ)在22日被国内安全漏洞监测平台“乌云网”披露:携程旅行网支付日志存在漏洞,用户银行卡信息可被黑客任意读取。携程昨日坦承漏洞的确存在,其已进行修补,并已通知存在潜在风险的93名用户更换信用卡。
3 月22日晚间,携程被一片“乌云”笼罩。当日,乌云漏洞平台披露:由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
乌云平台指出,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,其中包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。
携程方面承认漏洞存在。携程昨日向《第一财经日报》表示,其已展开技术排查,并在2小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
携程表示,经排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。3月22日晚至23日,携程已通知存在潜在风险的93名用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况。
携程承诺,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。携程同时表示,将加固系统信息安全。
但有消费者担心,假如发生信用卡损失,如何证明与携程有关?
微博名为“原子小金刚君”的网友指出,携程的声明从法律和逻辑上看起来没问题,但假如用户被盗刷了,如何先证明信息是从携程泄露的呢?
主动披露携程漏洞问题的乌云漏洞平台,是一个位于厂商和安全研究者之间的安全问题反馈平台。该平台上有不少“白帽子”,即具有专业技术者,他们有时也会以 “骇客”身份进行漏洞检查,但“白帽子”不会恶意牟利,而是善意提醒发生漏洞的企业进行修补。此前乌云曾发现如家等知名连锁酒店有泄露客户信息的问题,并对此进行了披露。
去年10月,乌云平台披露,自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。
“现在各大OTA、购物网站等都在力拓无线端,近期打得不可开交的在线旅游和购物价格战都是为了争夺无线端客户。为了抢个微信红包或获得旅游产品返现等,很多年轻客户捆绑银行卡,但是这种便捷的在线支付背后或许蕴藏着很大的危机。如何监管这些因为网络化经济而带来的支付风险是个十分严峻的问题。”华美首席知识专家赵焕焱分析。
携程:支付信息漏洞涉及93名用户存潜在风险
■ “携程用户支付信息泄露门”追踪
乌云漏洞平台发布报告曝光携程用户存在支付信息泄露风险后,携程方面23日回应称,共存在93名潜在风险用户,已通知上述用户更换信用卡,并负责全部费用,且将给予这93名用户每人500元任我行礼品卡作为补偿。
携程致歉并对用户进行补偿
22日,乌云漏洞平台发布消息称,携程网用户支付信息出现漏洞,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字)等。
有网友表示已经冻结或者更换自己在携程上使用过的信用卡,部分网友还表示要跟携程“告别”。
乌云平台携程漏洞报告发布者“猪猪侠”昨日发布微博称,“大家对于信用卡相关话题的反应有点过于敏感了,目前本人已经将安全测试涉及的日志信息彻底删除,携程也已经及时修复漏洞,相关信息并没有被传播。”
经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
携程方面表示,共涉及93名存在潜在风险的携程用户。已于昨日通知相关用户更换信用卡,携程将负责全部费用。
对于此事给广大用户带来的困扰,携程表示诚挚的歉意。
专家称网络信息安全仍待提高
互联网法律专家胡钢对新京报记者表示,网络服务公司如果故意存储用户的支付信息(携程已表示并非故意存储),属于涉嫌侵犯消费者隐私权的行为。出售、非法提供、非法窃取个人信息属于犯罪行为。如果携程并不是故意存储,并不属于上述行为,也应该承担未能充分保护用户信息的民事责任。
此外,有分析人士称,携程作为美股公司,市场对于此类信息安全事件通常“高度重视”。周一开盘时,携程股价可能会显示出该事件带来的波动。
版权所有 翻版必究!Copyright©2008-2022 沪ICP备10023616号-1
