携程陷信用卡信息泄密危机 引支付安全恐慌
携程陷信用卡信息泄密危机 引支付安全恐慌
一个银行支付的安全漏洞,最终触发了一场全民性的“安全”危机。
上周末,漏洞报告平台乌云在官网上发布消息称,携程旅行网支付日志存在漏洞。携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包括持卡人姓名身份证、银行卡号、CVV码等都有可能被任意骇客读取。虽然携程表示已在事发2小时后修复漏洞,并表示仅仅涉及93名存在潜在风险的携程用户。但事件却引发众多携程注册会员紧张,要求携程解除绑定信用卡,甚至是直接致电银行要求更换信用卡。
这究竟只是一个简单的技术漏洞,还是过度收集用户信息的全民危机?经过了一次又一次的互联网泄密,如今的互联网安全问题搞得人心惶惶,用户的信息安全是否真的不堪一击?
昨天下午,携程发布最新声明,称将不再保存客户的CVV信息,以前保存的那些CVV信息,正在予以删除。
为什么是携程泄密?
主动披露携程漏洞问题的乌云漏洞平台,是一个位于厂商和安全研究者之间的安全问题反馈平台。
3月22日晚间,乌云漏洞平台披露,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
携程安全支付日志可遍历下载,将导致大量用户银行卡信息泄露,其中包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。
其后,携程发布声明解释漏洞发生原因,指是因为技术开发人员之前为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前这些信息已被全部删除。经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。
另外,携程客服已于23日通知相关用户更换信用卡。截至3月23日22:00,没有接到携程客服换卡通知的用户,个人信息均是安全的,无需担心。截至目前,未发生携程用户信用卡被盗刷的情况。
不过,携程公开回应的信息似乎并未让众多绑定银行卡的注册会员放心。直至昨天,微博、微信等平台仍充满了“携程上用过的信用卡都不安全了吗”、“在携程用过的信用卡要不要全部换掉?”等疑问。
金山毒霸安全专家李铁军在接受南都记者采访时表示,根据携程和乌云公布的资料来看,用户信息泄露可能导致的结果除了盗刷,还可能可以利用这些信息创建第三方支付帐号,绑定信用卡实现境外购物。一般来说,信用卡具备离线支付功能,这个功能在知道用户的基本信息和CVV代码后就可以实现支付。
根据网友反映,一般来说在携程订票的时候,携程的人工客服会索要信用卡有效期、CVV码等信息,并强调不会储存信用卡卡号信息,之后再次消费就不再索要新的资料,可以直接进行预定。
有银行业的技术负责人向南都记者解释称,2010年携程已与多家银行达成“无卡支付”服务协议,这就意味着用户的该张信用卡如果是首次在携程网使用,在支付生效前需要客户提供全部的信用卡授权所需信息。同时为了方便下次预订,客户可同意携程网保留其信用卡卡号和有效期等信息,在其下次预订时只需提供所存信用卡的卡号后4位,携程网就可根据其当初保留在系统中的信用卡授权信息,执行支付步骤。
采用这种做法的前提是,由于携程等售卖的产品为机票和度假等实名制产品,如果信用卡出现盗刷可以直接追溯到实际消费人。
亦有业内人士向南都记者透露,这种做法在业内较为常见,多家在线旅游服务提供商都会提供“常用卡服务”的选项,初衷是为了方便客户交易。“比如在进行舱位变更的时候,不需要每次更改信息都要求用户重复输入CVV码,方便客户交易。”
但这种存留信息的方式,前提是信息要得到绝对的保护,否则就很可能是风险隐患所在。
携程行为给用户造成巨大风险
携程留下明文日志是否归咎于疏忽暂且不论。目前用户以及业界更为关注的是,携程是否存在过度收集用户信息的行为?
漏洞报告平台乌云发布信息的其中一点是,持卡人的CVV码等可能被任意骇客读取,这其中可能触犯银联此前禁止记录CVV的规定。
CVV即CardVerificationValue,是由卡号、有效期和服务约束代码生成3位或4位数字,一般写在卡片磁条2磁道用户自定义数据区里面。CVV码是进行网络和电话交易时的安全保障,掌握着卡的交易授权,属于高度机密的用户信息。一般情况下,无需密码支付的方式叫信用卡“离线交易”,仅凭卡号、CVV码等信息即可完成支付。李铁军认为,CVV安全码的重要性相当于用户的签名。
李铁军向南都记者表示,这件事的关键点是“携程是否过度收集用户信息”。“这种记录并不是行规,正常的流程应该是调用银行系统数据,而不是自己记录用户信息。类似用户的CVV码、6位卡Bin等,携程应该让用户转到银行专门网站上输入。”
南都记者查阅发现,银联2008年发布的《银联卡收单机构账户信息安全管理标准》的2.1条显示,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡*****、卡片验证码、个人标识代码(PIN)及卡片有效期。
此外,支付卡产业数据安全标准(PCI-DSS)中明确规定,CVV、PIN等敏感验证数据属于不允许存储类别。可保存的账户数据只有主账户(PAN)、持卡人姓名、业务码以及失效日。PCI-DSS为第三方支付行业数据安全标准,是由PCI安全标准委员会的创始成员制定,为了使国际上采用一致的数据安全措施。PCI-DSS对于支付网关的安全方面作出标准的要求,作为目前国际上支付卡行业最高级别的安全标准认证,明确禁止成员保存CVV码。
对此,携程在对南都记者的回复中称,携程按照相关银行的支付规定,部分银行用户交易时,需提交CVV信息。若用户未授权,所有相关信息在交易成功后将立即删除。携程一直按照国际信用卡支付安全标准要求加密保存信用卡信息。携程的做法,符合PCI-DSS规定。对此,资深互联网分析师王刚认为,携程如果保存用户CVV码,是明显违反PCI-DSS认证规则的行为,给用户造成了巨大的风险。
对于,在用户消费时,携程采用的是否是只需要信用卡卡号、有效期等信息,而不需要密码的支付方式这一问题上。携程方面表示,在牵涉到客户交易的敏感信息方面,会按照最严格的行业规范来确保用户支付安全。
而南都记者查阅发现,目前通过PCI-DSS认证的企业有南方航空、网银在线、支付宝、快钱支付、盛付通、工商银行、民生银行、中信银行等等。同时,携程的竞争对手去哪儿网也通过了PCI-DSS认证,并且号称是目前国内唯一一家通过PCI-DSS认证的旅游预订平台。
如何界定携程责任?
不过,对于此次事件,李铁军建议并不需要过于恐慌。“被记录过CVV的用户必须更换信用卡。但其他用户,现阶段可以注意观察信用卡帐单是否出现异常,注意每一笔交易,如果出现盗刷则需要及时报警、通知银行以及换卡。”
除此之外,携程也承诺,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。但对此,李铁军认为很难证明盗刷与此次信息泄露之间的关系,因为很难追溯盗刷涉及信息的来源。王刚则认为这是一个“空洞的承诺,因为受害用户一般无法明确举证。”
从目前公布的消息来看,漏洞是由白帽子发现,并善意告之携程,让厂商及时修补。因此,事态发展应该正处于控制中。但从另一个角度可以看出,此次泄露的信息,其实全部都保存在信用卡的卡面上,这也意味着只要有人能够顺利获取这些信息并记录下来,理论上就可以实现线上盗刷。
金山毒霸的专家给出建议,称如果刷卡消费时卡片离开自己视线,除了可能被复制,一些关键信息如信用卡号、有效期、姓名、卡背面末三位也可能被记录。因为仅凭这些信息,就足够完成信用卡离线支付。“建议刷卡消费时,应确保卡片在自己视线以内。”专家再提出,如果你的信用卡在黑心的商铺里被复制或者关键信息被记录,他们如果再偷窥得到了你的支付密码,就完全可以在线购物了。“因此,消费者刷卡输入密码时尽量遮挡,防止被不怀好意的骗子偷看到。”
此外,在网购时,要记得如姓名、身份证、卡号、取款密码、登录密码、手机号,CVV码等关键,只能提交给银行系统,而不能提交给其他任何第三方网站。就算对方是银行的工作人员,在电话中、邮件中,也绝不可以提供取款密码和CVV码(卡背面的末三位)。
而腾讯手机管家方面则提出,目前用户在很多电商网站上购买机票的时候都要求用户提供信用卡的CVV码,这也是部分银行对于信用卡支付所做的规定,如何保护好用户的卡号、CVV码,是电商网站必须研究的课题。“如果担心自己的信用卡信息已经遭遇泄露,用户尽快到所在银行进行补卡,以免被人盗刷。”其次,防范“航班取消”诈骗。近日,有大量网友表示,在携程等网站上购买机票后,就收到“航班取消”短信,而回拨短信中的400号码后,被告知需要交纳退票手续费,由于短信内容中的用户姓名、航班号等都能对上号,导致用户放松警惕而遭遇诈骗。因此,监管机构应该严查机票销售网站是否存在出售用户个人信息牟利的情况。同时,广大用户在收到“航班取消”短信后,不要回拨短信中的电话,而是要找到航空公司官方客服电话询问,以免上当受骗。
[业界观点]
●称如果刷卡消费时卡片离开自己视线,除了可能被复制,一些关键信息如信用卡号、有效期、姓名、卡背面末三位也可能被记录。因为仅凭这些信息,就足够完成信用卡离线支付。
●用户信息泄露可能导致的结果除了盗刷,还可能可以利用这些信息创建第三方支付帐号,绑定信用卡实现境外购物。
●携程如果保存用户CVV码,是明显违反PCI-DSS认证规则的行为,给用户造成了巨大的风险。
我爱卡(www.51credit.com) 是,银行授权信用卡申请合作网站,安全、便捷、高效!申请信用卡请访问我爱卡网在线申请通道://cc.51credit.com/