注册

安全漏洞门事件 携程回应“影响不大”


来源:凤凰旅游

人参与 评论

针对3月22日传出的信用卡支付安全漏洞,携程回应受影响人群很少,大部分用户不需要换卡。该公司并没有公开漏洞存续时间。

凤凰旅游讯:针对3月22日爆出的安全漏洞事件,携程旅行网(以下简称“携程”,纳斯达克股票代码:CTRP)表示:网站出现漏洞并不意味着信息泄露,除可能存在风险的93名用户外,其余用户在携程使用信用卡是安全的,并不需要换卡。

3月22日,漏洞报告平台乌云(WooYun)在官网上公布了一条安全漏洞信息,指出携程安全支付存在漏洞,可能导致支付过程中的调试信息被黑客读取。这些信息包括持卡人姓名身份证、银行卡号、银行卡CVV(Card Verification Value)码等。

乌云是一个位于厂商和安全研究者之间的安全问题反馈平台,这里聚集了国内很多技术高手,在平台上交流和发布网站和软件的漏洞,并提交给相关企业进行补救。携程相关人士对凤凰旅游表示:这是一个意外事件,实际上众多知名网站都会有相应漏洞在乌云上交流。但业内认为,此次危机表明携程内部的操作流程存在漏洞。

尽管在3月22日和3月23日连番公告,表示公司已经在漏洞发布2个小时内修复该漏洞,用户信息安全未受影响。但公众仍对信用卡安全充满疑虑:此次问题涉及的用户人群有多大?携程为何以及是否有权存储信用卡信息?携程将如何补偿用户?

“猪猪侠”是乌云携程这一漏洞的发布者,3月23日下午他在其微博上表示:对于信用卡相关话题,公众的反应有点过于敏感。目前他已经将安全测试涉及的日志信息彻底删除,并拒绝做后续评论。

携程是国内最大的综合性旅游服务商。根据其官网介绍,携程向超过1.4亿会员提供集无线应用、酒店预订、机票预订、旅游度假、商旅管理及旅游资讯在内的全方位旅游服务。携程于2003年12月在美国纳斯达克上市。根据其2013年2月发布的最新财报,携程去年净营业收入为54亿元人民币。

疑问1:安全隐患涉及多少人?

携程在3月23号下午的公告里,回应称:仅漏洞发现人即ringzero做的安全测试中还有少量加密卡号信息,共涉及93名存在潜在风险的用户。事情发生后,各大银行给予携程的反馈是,目前并没有出现用户信用卡被盗刷的情况。

按照乌云的描述,“此次漏洞来自于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口的数据包均直接保存在本地服务器”。这一风险,只有在从这一漏洞产生到携程反馈漏洞已修复期间,在携程支付过的信用卡才有被盗刷的可能。

但携程并未明确漏洞存续的时间,仅表示可能受影响的是3月21日和3月22日的部分交易客户。

疑问2:携程凭什么存储用户信息?这种做法是否合理?

携程表示,部分银行用户交易时需要提交CVV信息。“那些授权支付但还没有完成扣款的交易,CVV信息会被暂存7天。”携程解释说,这是为了降低用户的费力度和提高用户的支付便捷性,这种做法符合PCI-DSS(Payment Card Industry-Data Security Standard,第三方支付行业数据安全标准)的规定。

PCI-DSS由PCI安全标准委员会制定,旨在推动第三方支付公司采用一致的数据安全措施。PCI安全标准委员会2006年成立,由美国运通(American Express)、发现金融服务公司(Discover Financial Services)、JCB国际信用卡公司(JCB International)、万事达卡国际组织(MasterCard)、Visa公司(Visa Inc)五家公司创立。

业界表示,PCI-DSS的资质申请并不容易。携程并未正面回应其是否获得这一资质,但表示他们是一直按照PCI-DSS要求加密保存信用卡信息。

疑问三:携程如何赔偿用户?

携程3月23日发布的公告称,如果因为此次事件而造成客户信用卡资料被盗用并引发资金损失的,携程都会负责赔偿。

目前被认为有信用卡盗用风险的93人,携程将用500元任我行礼品卡补偿;如果出现信用卡被盗刷,则携程赔偿期间被盗刷的所有损失。

调查

  • 1.您认同携程的说法吗?(此问必选)
  • 2.您应对这一风险的做法是什么?(此问必选)
  • 3.您会否怀疑其他网站也存在这个问题?(此问必选)
  • 4.近期您会否减少网上支付的频率?(此问必选)
  • 5.对于此次爆出的安全漏洞,您希望携程怎么做?(此问必选)

相关新闻:

[责任编辑:邬静娜]

标签:信用卡 携程 盗刷 身份 CVV

人参与 评论

网罗天下

凤凰旅游官方微信

48小时点击排行

0
凤凰新闻 天天有料
分享到: