攜程支付日志泄露記錄支付數(shù)據(jù)行為遭質疑

king9413 2014-03-25

展開全文

網(wǎng)易科技訊 3月23日消息，昨日攜程網(wǎng)被曝出現(xiàn)安全漏洞，用戶身份證號、銀行卡號、CVV碼等信息或遭泄露，銀行工作人員稱建議用戶辦理掛失或凍結。

　　這一事件招致巨大的用戶信任危機，攜程旅行網(wǎng)官方微博遭受大量用戶指責。

　　用戶支付信息泄露攜程稱將賠償損失

　　根據(jù)烏云漏洞平臺的描述，攜程將用于處理用戶支付的服務接口開啟了調試功能，使所有向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務器。同時因為保存支付日志的服務器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意駭客讀取。

　　安全日志包含的信息包括：持卡人姓名、持卡人身份證、所持銀行卡類別(比如，招商銀行信用卡、中國銀行信用卡)、所持銀行卡卡號、所持銀行卡CVV碼以及所持銀行卡6位Bin(用于支付的6位數(shù)字)。

　　對此攜程官方在烏云漏洞平臺確認了這一漏洞信息，稱已經(jīng)在漏洞發(fā)布兩小時內修復該問題。

　　根據(jù)攜程的回應，可能受到該漏洞影響的為3月21日與3月22日的部分交易客戶，并表示如果有用戶因為該漏洞造成財產(chǎn)損失，攜程將賠償損失。

　　銀行建議：柜臺掛失或凍結

　　昨日20:43，網(wǎng)易率先曝出了該消息，隨后有用戶開始撥打銀行客服電話申請掛失，截至晚間22:00左右，銀行客服電話已經(jīng)被打爆。

　　據(jù)了解，用戶在攜程綁定信用卡后，初次使用需要提供信用卡卡種、卡號、有效期、CVV2碼(即信用卡驗證碼)等一系列完整信息，但第二次在攜程網(wǎng)使用同一張信用卡時，只需提供卡號后四位及CVV2碼就可以完成支付操作。

　　網(wǎng)易科技隨即咨詢了一名銀行業(yè)人士，該人士表示，銀行也有自己的安全評估體系和風險預警機制，即便用戶信息泄露也并不意味著財產(chǎn)一定會受到損失，不過還是建議用戶去銀行柜臺辦理信用卡掛失換卡或凍結。

　　用戶也可以通過電話進行凍結或掛失，不過部分銀行的電話掛失屬于臨時掛失，最穩(wěn)妥的方式是電話掛失后去柜臺辦理。

　　攜程記錄支付數(shù)據(jù)行為遭質疑

　　有用戶指出，攜程記錄用戶支付信息的行為違反了銀聯(lián)2008年發(fā)布的《銀聯(lián)卡收單機構賬戶信息安全管理標準》，根據(jù)該標準的2.1條，各收單機構系統(tǒng)只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期，根據(jù)標準8.1條，各類受理終端均不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼、卡片有效期等敏感賬戶信息。

　　對這一行為，此前攜程在接受媒體采訪時的回答是攜程網(wǎng)采用的信用卡支付方式符合國際慣例。

　　安全寶副總裁吳翰清表示，不排除有其他黑客在烏云曝出該漏洞前已經(jīng)通過該漏洞獲取安全日志，由于日志采用的是明文記錄，黑客無需破解就可以拿到支付數(shù)據(jù)。

　　根據(jù)烏云平臺的描述，此次漏洞出現(xiàn)的原因是攜程將用于處理用戶支付的服務接口開啟了調試功能，也就是說舒彧操作不當，而非因黑客攻擊導致，這也是招致用戶不滿的原因。

　　目前關于漏洞被曝光之前持續(xù)的時間、日志是否被其他人下載，是否有用戶被盜刷信用卡等問題，攜程仍無法給出有說服力的答案。

　　網(wǎng)易科技將繼續(xù)關注這一事件。(顧曉波)