携程曝支付漏洞 违规存用户银行卡信息遭质疑

  • 时间:
  • 浏览:0
  • 来源:大发uu快3_uu快3计划_大发uu快3计划

22日,乌云漏洞平台发布消息称,携程旅行网支付日志指在漏洞,或愿因多量用户银行卡信息泄露。携程随后 确认指在两种生活漏洞,并发声明表示,有93名用户指在安全风险。实在携程表示漏洞随后修复,但两种生活安全事件仍引发诸多质疑。有专家表示,携程保存客户银行卡信息属于违反银联的规定。

携程存储用户银行卡信息 被指违反银联规定

据了解,此次携程漏洞可使包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin泄露。据了解,CVV即 Card Verification Value,是由卡号、有效期和服务约束代码生成3位或4位数字,一般写在卡片磁条2磁道用户自定义数据区上方。不不密码支付的办法 也叫信用卡“离线交易”,仅凭卡号、CVV码等信息即可完成支付。专家提醒,CVV安全码离米 信用卡“第二密码”,需妥善保管。

针对携程此次漏洞,新浪微博认证为“MediaV CTO,原Google技术总监”胡宁称,用户信用卡信息泄露,不不说犯低级技术错误这样 简单,“敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这详细都是常识”。

金山毒霸安全专家李铁军接受中新网IT频道采访时称,从目前携程和乌云回应的资料来看,携程用户隐私的泄露过程还不不说能详细肯定,而且结果造成的用户安全风险是非常大的。“除了被盗刷的随后,了解用户哪此信息后还还还还里能创建第三方支付账号,绑定信用卡实现境外购物。”据了解,信用卡两种生活生活支付功能为离线支付,两种生活支付办法 假如知道了用户的基本信息和CVV代码后就还还还里能实现支付。

据多家媒体报道,此次漏洞在于携程记录了用户的CVV代码,上海鼎力律师事务所孙建中律师表示,携程保存客户信息属于违反银联的规定,从《消费者权益保护法》看,其技术手段未尽到保护消费者的义务。财新传媒总编辑胡舒立也直接指出,携程详细都是第三方支付机构,无权保留银行卡信息。

买车人面,PCI-DSS(第三方支付行业数据安全标准)规定了不允许存储CVV,但携程支付页面称通过了PCI认证,同样令人费解。

安全专家:被记录过CVV代码的用户都需用换卡

携程在声明中表示,“截至23日22:00,这样 接到携程换卡通知的客户,买车人信息均是安全的,不不担心。”携程表示,目前有93人账户指在安全风险,并承诺未来随后因安全漏洞引起用户损失,携程将承担详细责任并给与赔偿。

而且这份声明或并这样 打消用户的担心,不少携程用户在微博表示“需用换卡”。 据了解,作为国内在线旅游市场份额最大服务商,携程日均酒店预订、票务预订等业务量以十万计。不少日本男友表示,随后 大规模的一家企业,即便是如携程所表示仅21日、22日的次要交易客户存风险,难道仅仅是93位吗?

买车人面,为社 么界定信用卡被盗刷同携程漏洞有关也是一个难题。日本男友@舞剧3D:携程所谓赔付的承诺根本不可信,随后你根本无法举证信息泄露与携程有关。还有日本男友指出,即便现在信用卡这样 被盗刷,黑客还是随后把泄露的信息保存起来静默一段时间再动手,而到时被盗刷的愿因本来难 判断。“随后信用卡被用此种办法 盗刷,维权也很困难,随后银行会认为是买车人持卡在执行哪此操作。”李铁军表示。

有业内人士指出,从目前来看,最为保险的做法是“换卡”。 而且哪此用户有换卡的必要呢?是不是携程所有用户都需用换卡?“从目前携程和乌云披露的信息中不不说能选用 是不是所有携程用户信息都被泄露,而且假如被记录过CVV的用户就需用更换信用卡。”李铁军表示。

携程安全隐患随后并未根本解除

携程在公告中称,携程已通知指在潜在风险的93名用户更换信用卡,经银行反馈,目前并这样 指在携程用户写用卡被盗刷的情况报告。但事情似乎不不说这样 简单。

李铁军分析称,这次的事件并这样 根本上除理风险的随后,随后从目前来看携程违反了银联此前禁止记录CVV的规定。“结合此前携程支付方面受到的安全质疑,携程在随后或还指在记录用户CVV的嫌疑。”

据多家媒体报道,此前已有携程用户对于携程支付安全提出质疑,携程回应称携程采用的信用卡支付办法 符合国际惯例,且公司内控 有足够的风险把控能力。微博实名认证为广西易搜科技有限公司CEO的严茂军昨日在微博上表示,“早在2月25日就致电过携程我绑定携程的几张信用卡被盗刷十几笔外币的事件,当时亲戚亲戚大伙儿回复系统安全正常。”

昨日,羊城晚报援引安全人士表示,“但从目前情况报告看,携程的支付系统的确指在本来 不选用 性,风险程度很高。除了黑客盗取信息,公司内控 对用户信息管理情况报告也令人担忧。”

实在不少携程的用户在看后消息随后,随后连夜向银行申请撤回信用卡。但在奇虎350首席隐私官谭晓生看来,从已知信息来说,仍不到准确断定是不是随后有大规模泄露指在,真正的情况报告不到当事企业买车人清楚。(中新网IT频道)