携程陷“信用卡信息恶性泄密”危机

携程陷“信用卡信息恶性泄密”危机 网络赚钱 www.qiandaqian.com 一个银行支付的安全漏洞，最终触发了一场全民性的“安全”危机。 上周末，漏洞报告平台乌云在官网上发布消息称，携程旅行网支付日志存在漏洞。携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，包括持卡人姓名身份证、银行卡号、C V V码等都有可能被任意骇客读取。虽然携程表示已在事发2小时后修复漏洞，并表示仅仅涉及93名存在潜在风险的携程用户。但事件却引发众多携程注册会员紧张，要求携程解除绑定信用卡，甚至是直接致电银行要求更换信用卡。 这究竟只是一个简单的技术漏洞，还是过度收集用户信息的全民危机?经过了一次又一次的互联网泄密，如今的互联网安全问题搞得人心惶惶，用户的信息安全是否真的不堪一击? 昨天下午，携程发布最新声明，称将不再保存客户的C V V信息，以前保存的那些C V V信息，正在予以删除。 为什么是携程泄密? 主动披露携程漏洞问题的乌云漏洞平台，是一个位于厂商和安全研究者之间的安全问题反馈平台。 3月22日晚间，乌云漏洞平台披露，由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。 携程安全支付日志可遍历下载，将导致大量用户银行卡信息泄露，其中包含持卡人姓名、身份证、银行卡号、卡C V V码、6位卡B in等。 其后，携程发布声明解释漏洞发生原因，指是因为技术开发人员之前为了排查系统疑问，留下了临时日志，因疏忽未及时删除，目前这些信息已被全部删除。经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。 另外，携程客服已于23日通知相关用户更换信用卡。截至3月23日22:00，没有接到携程客服换卡通知的用户，个人信息均是安全的，无需担心。截至目前，未发生携程用户信用卡被盗刷的情况。 不过，携程公开回应的信息似乎并未让众多绑定银行卡的注册会员放心。直至昨天，微博、微信等平台仍充满了“携程上用过的信用卡都不安全了吗”、“在携程用过的信用卡要不要全部换掉?”等疑问。 金山毒霸安全专家李铁军在接受南都记者采访时表示，根据携程和乌云公布的资料来看，用户信息泄露可能导致的结果除了盗刷，还可能可以利用这些信息创建第三方支付帐号，绑定信用卡实现境外购物。一般来说，信用卡具备离线支付功能，这个功能在知道用户的基本信息和CV V代码后就可以实现支付。 根据网友反映，一般来说在携程订票的时候，携程的人工客服会索要信用卡有效期、CV V码等信息，并强调不会储存信用卡卡号信息，之后再次消费就不再索要新的资料，可以直接进行预定。 有银行业的技术负责人向南都记者解释称，2010年携程已与多家银行达成“无卡支付”服务，这就意味着用户的该张信用卡如果是首次在携程网(47.95, 0.16, 0.33%)使用，在支付生效前需要客户提供全部的信用卡授权所需信息。同时为了方便下次预订，客户可同意携程网保留其信用卡卡号和有效期等信息，在其下次预订时只需提供所存信用卡的卡号后4位，携程网就可根据其当初保留在 系统中的信用卡授权信息，执行支付步骤。 采用这种做法的前提是，由于携程等售卖的产品为机票和度假等实名制产品，如果信用卡出现盗刷可以直接追溯到实际消费人。 亦有业内人士向南都记者透露，这种做法在业内较为常见，多家在线旅游服务提供商都会提供“常用卡服务”的选项，初衷是为了方便客户交易。“比如在进行舱位变更的时候，不需要每次更改信息都要求用户重复输入CV V码，方便客户交易。” 但这种存留信息的方式，前提是信息要得到绝对的保护，否则就很可能是风险隐患所在。 携程行为给用户造成巨大风险 携程留下明文日志是否归咎于疏忽暂且不论。目前用户以及业界更为关注的是，携程是否存在过度收集用户信息的行为?