当前位置:网站首页 >> 金融

携程支付日志泄露记录支付数据行为遭质疑

时间:2019-05-15 00:32:28 来源:互联网 阅读:0次

3月23日消息,昨日携程被曝出现安全漏洞,用户身份证号、银行卡号、CVV码等信息或遭泄露,银行工作人员称建议用户办理挂失或冻结。

这一事件招致巨大的用户信任危机,携程旅行官方微博遭受大量用户指责。

用户支付信息泄露 携程称将赔偿损失

根据乌云漏洞平台的描述,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

安全日志包含的信息包括:持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin(用于支付的6位数字)。

对此携程官方在乌云漏洞平台确认了这1漏洞信息,称已经在漏洞发布两小时内修复该问题。

根据携程的回应,可能受到该漏洞影响的为3月21日与3月22日的部分交易客户,并表示如果有用户由于该漏洞造成财产损失,携程将赔偿损失。

银行建议:柜台挂失或冻结

昨日20:43,易率先曝出了该消息,随后有用户开始拨打银行客服申请挂失,截至晚间22:00左右,银行客服已被打爆。

据了解,用户在携程绑定信用卡后,初次使用需要提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,但第二次在携程使用同一张信用卡时,只需提供卡号后四位及CVV2码就可以完成支付操作。

易科技随即咨询了一名银行业人士,该人士表示,银行也有自己的安全评估体系和风险预警机制,即便用户信息泄漏也其实不意味着财产一定会受到损失,不过还是建议用户去银行柜台办理信用卡挂失换卡或冻结。

用户也可以通过进行冻结或挂失,不过部份银行的挂失属于临时挂失,稳妥的方式是挂失后去柜台办理。

携程记录支付数据行为遭质疑

有用户指出,携程记录用户支付信息的行动违背了银联2008年发布的《银联卡收单机构账户信息安全管理标准》,根据该标准的2.1条,各收单机构系统只能存储用于交易清分、差错处理所必需的基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期,根据标准8.1条,各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

对这1行动,此前携程在接受媒体采访时的回答是携程采取的信用卡支付方式符合国际惯例。

安全宝副总裁吴翰清表示,不排除有其他黑客在乌云曝出该漏洞前已经通过该漏洞获取安全日志,由于日志采取的是明文记录,黑客无需破解就可以拿到支付数据。

根据乌云平台的描写,此次漏洞出现的原因是携程将用于处理用户支付的服务接口开启了调试功能,也就是说属于操作不当,而非因黑客攻击导致,这也是招致用户不满的缘由。

目前关于漏洞被暴光之前持续的时间、日志是不是被其他人下载,是不是有用户被盗刷信用卡等问题,携程仍没法给出有说服力的答案。

易科技将继续关注这一事件。

经间期出血的中医治疗
经间期出血的中药治疗
经间期出血吃什么中成药

相关文章

一周热门

热点排行

热门精选

友情链接: 建筑造价 怎么注册微店 成功案例
媒体合作:

Copyright (c) 2011 八零CMS 版权所有 Inc.All Rights Reserved. 备案号:京ICP0000001号

RSS订阅网站地图