【口播】继“酒店开房信息遭泄露”、“浏览器泄露用户隐私”等事件之后,近日“携程”又被爆有泄露用户银行卡信息风险。对此,携程方面称是公司在技术调试过程中出现短时漏洞。不过,业内专家则表示,并非低级技术错误这么简单。
【解说】近日漏洞报告平台乌云网公告指出携程安全支付日志可以下载,导致大量用户银行卡信息泄露,这些信息包含持卡人姓名身份证、银行卡号、卡CVV码等,有可能被黑客所读取。23日携程方面承认是公司在技术调试过程中出现短时漏洞,目前没有出现恶意下载有关数据和用户信用卡被盗刷的情况,承诺未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。但是对于携程的解释,仍存在很多质疑。
【口播】继“酒店开房信息遭泄露”、“浏览器泄露用户隐私”等事件之后,近日“携程”又被爆有泄露用户银行卡信息风险。对此,携程方面称是公司在技术调试过程中出现短时漏洞。不过,业内专家则表示,并非低级技术错误这么简单。
【解说】近日漏洞报告平台乌云网公告指出携程安全支付日志可以下载,导致大量用户银行卡信息泄露,这些信息包含持卡人姓名身份证、银行卡号、卡CVV码等,有可能被黑客所读取。23日携程方面承认是公司在技术调试过程中出现短时漏洞,目前没有出现恶意下载有关数据和用户信用卡被盗刷的情况,承诺未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。但是对于携程的解释,仍存在很多质疑。
质疑一:并非低级技术错误这么简单
原Google技术总监胡宁认为,用户信用卡信息泄露并非犯低级技术错误这么简单,携程可能并未故意存储CVV信息,但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞,一步错,步步错。
质疑二:超范围保留用户信用卡信息
有业内人士爆料称,在该漏洞爆出前携程系统里就已经能看到用户信息,“银联相关标准严格要求商户系统不得以任何方式存储这些银联卡片敏感信息,有了这些数据,可以轻易伪造在线支付交易,客户敏感信息和交易安全从何保证”。
质疑三:以“常用卡”的名义存储用户信息
近日,一家在线旅游网站人士表示,不少网站都会让用户勾选保留常用卡信息,消费者初次使用的时候需提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,然后提交支付,但第二次使用这张信用卡时,只需提供卡号后四位及CVV2码就会完成这次支付操作,这也变相证明了是在本地存储了用户的相关信用卡的信息。有业内人士表示,知道了CVV码和信用卡卡号就差不多能进行离线支付,泄露后风险很大。
【口播】汽车之家创始人李想在微博上表示,“交易网站存CVV码相当于小时工偷偷配了你家的钥匙,同时,小时工还知道了关于你家所有的信息。这属于企业的基本道德问题。然而一场安全的飓风袭来,携程安全漏洞的事件并不是第一次。
【解说】2011年12月,CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。随后,CSDN"密码外泄门"持续发酵,天涯、世纪佳缘等网站相继被曝用户数据遭泄密。
2013年10月,如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。
2013年11月,有网友在专业技术卡饭论坛上称,使用QQ帐号登录搜狗浏览器,可以查看到数千其他用户的个人账号。
【口播】在不少见诸报端的“信息秒查”“隐私曝光”等案例中,当事企业均表示没有发生泄露,消费者也只能相信企业说法。而随着越来越多的企业记录用户的隐私信息、银行卡信息等,企业应当意识到,用户隐私信息是个“烫手的山芋”,一旦获得必须做到妥善保管、严密自查,隐私安全部署更应当被放在企业“生命线”的高度来重视。我们也期待着市场各方能共同从用户的安全着想,为他们驻好安全“篱笆”,不让消费者脆弱的神经再受刺激。
关键词:
分类名称:
中新播报