官方微博
关注微信公众号 关注微信公众号

当前位置: 澳门永利娱乐场 > 手机资讯 > 文章详细内容

如何看待携程泄露用户支付信息的事件

2014-05-19 19:05 - 手机资讯 - 查看:

央广网财经北京3月23日消息乌云漏洞平台昨天发布消息称,携程旅行网的系统存技术漏洞,可能导致用户个人信息、银行卡信息等泄露。

乌云报告称,携程将用于处理用户支付的服务接口开启了调试功能,使所有银行持卡所有者接口传输的数据包都直接保存在本地服务器上。这样就有可能导致所有支付过程中的调试信息被黑客读取。漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码以及银行卡6位Bin。

根据目前了解到的情况,携程方面对此次事件原因的解释是,携程的技术开发人员为了排查系统疑问,留下了临时日志文件,因疏忽未及时删除,目前,这些信息已被全部删除。

携程旅行网华北公共事务部经理蒋海滨表示,这次事件并没有给携程用户造成损失,如有损失,他们将全额赔付。

如何看待携程泄露用户支付信息的事件


这次携程网泄露用户支付信息事件正发生在传统金融业与互联网金融激烈博弈期间,以用户安全为由,监管部门正要对第三方支付施加诸多限制,在这个关键时期爆出这样的事情,携程可谓给央行想睡觉就送上了枕头。

最后,再提醒下各位,当心那些具备互联网思维的骗子集团利用这次携程泄密事件趁虚而入,利用你的不安全感,给你打来这样的电话:您好,我是XX银行的,因为这次携程信息泄露,我们怀疑您的信用卡信息已经被盗,需要更新信用卡信息,请听到滴声以后,把您信用卡的帐户名、密码以及新的密码输入到系统中,我们为您操作……

为什么重大新闻总是出在周末?

3月1日昆明火车战恐怖袭击案,发生在星期六的夜里。

3月8日马航飞机失联,发生在星期六的早晨。

3月23日携程用户银行卡泄密事件,又是发生在星期六的夜里。

这是要在三月份累死记者的节奏啊。

区别是,前两次都怀疑是与恐怖袭击有关,而第三次是携程干的,共同点是:都够吓人的!

对了,3月15日也是个星期六,央视打假晚会曝光各企业后,为了跟踪报道加班的记者更多。

因为从事的是互联网业,周围的人对这次携程用户银行卡泄密事件都相当敏感,不怕一万就怕万一,第一时间致电发卡银行,请求更换信用卡或挂失,可能是接入用户过多,打招商银行客服电话还遭遇占线,这是以前从未遇到过的,可见,此事涉及面之广。

这次披露携程漏洞问题的是乌云(WooYun)漏洞平台。乌云漏洞平台在22日公布的信息显示,“由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取”。
而且这不是个谣言或者猜测,随后携程承认了漏洞的存在。

尽管乌云漏洞平台在报告时措辞比较专业,但“可被任意骇客读取”几个字消费者还是懂的,这也是恐慌的根源。那么到底该如何评估这次泄密事件的严重性呢?

基本判断有四点,第一,这次携程泄密事件与2012年CSDN泄密事件有所不同,CSDN泄密是历史数据库泄露,服务器被入侵,而这次携程泄密不涉及数据卡被泄的问题,只是正在支付的数据,才有被黑客盗取的可能;第二,但是这次携程泄密比CSDN泄密事件后果要严重,因为CSDN泄露的并非金融数据,只是网站注册的邮箱、用户名、密码等,但携程泄密的则是用户的银行卡信息,比如携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息都可能遭外泄,这也是为什么很多用户会急着更换信用卡。因为现在网络信用卡支付流程已经非常简单,比如在美国亚马逊网站海淘,注册用户输入信用卡号,CVV码既能成功消费,连密码都不用,相关信息一旦被动,很可能会造成严重损失,之前也有媒体报道,携程网会员在多次购买支付酒店或机票价款后,只需提供卡号后四位及CVV2码,携程网就会完成下一次支付操作;第三,尽管只是漏洞出现后曾经在携程网用银行卡消费过的用户有可能被泄密,但携程网这个漏洞到底存在多长时间目前还搞不清楚,携程称该漏洞受影响的用户为“近期的部分交易客户”,但这个近期到底是多久,几天,几个月,还是一年?

事件发生后携程在微博上说“向用户诚恳道歉”,并称漏洞已修复,承诺愿意为未来因安全漏洞引起的用户损失承担赔付责任。但在这份“申明”中,对泄密事件的一些细节却含糊其辞,没有直面的勇气。


赞助链接

赞助链接