昨日,攜程網被爆其系統存技術漏洞,導致個人資訊,銀行卡資訊等洩露,為此,攜程方面致歉使用者,並回應稱安全漏洞已修復,承諾如果有使用者因該漏洞造成財產損失,攜程將賠償損失。
新京報訊 昨日,烏雲漏洞平臺釋出訊息稱,攜程系統存技術漏洞,可導致使用者個人資訊、銀行卡資訊等洩露。對此,攜程當日晚間對新京報表示,已進行技術排查和修復。如使用者因此產生損失,攜程將賠償。
烏雲:
銀行卡資訊或被黑客讀取
據烏雲平臺稱,攜程將用於處理使用者支付的服務介面開啟了除錯功能,使部分向銀行驗證持卡所有者介面傳輸的資料包均直接儲存在本地伺服器。烏雲方面的報告稱,漏洞洩露的資訊包括使用者的姓名、身份證號碼、銀行卡類別、銀行卡卡號、銀行卡CVV碼(即卡號、有效期和服務約束程式碼生成的3位或4位數字)以及銀行卡6位Bin(用於支付的6位數字),上述資訊有可能被黑客所讀取。
據瞭解,烏雲是一個位於廠商和安全研究者之間的安全問題反饋平臺,此前多次釋出國內企業資訊系統的技術漏洞,推動企業進行漏洞修復。
攜程:
尚未發現客戶資訊洩露及損失
對此,攜程方面昨日晚間表示,在得知該訊息後,公司即展開了技術排查並在訊息釋出兩個小時內修復問題。攜程稱,對於烏雲平臺發現漏洞資訊表示感謝,並將對於提供漏洞資訊者給予獎勵。對於此次漏洞事件,如有新進展,攜程將持續通報。
同時,攜程表示,可能受影響的為3月21日與3月22日的部分交易客戶,目前尚沒有發現因相關問題導致客戶資訊洩露及造成損失的情況發生。公司將繼續進行網路安全的核查工作,如果有使用者因該漏洞造成財產損失,攜程將賠償損失。
攜程方面表示,經過連夜技術排查,公司已經在烏雲網發現問題後的兩小時內修復了這個漏洞,“經查,攜程的技術開發人員之前是為了排查系統疑問,留下了臨時日誌,因疏忽未及時刪除,目前,這些資訊已被全部刪除。”
對於大家普遍擔心的信用卡安全問題,攜程透露,經過排查,僅漏洞發現人做了測試下載,內容含有極少量加密卡號資訊,共涉及93名存在潛在風險的攜程使用者。
“攜程客服已於3月23日通知這些使用者更換信用卡,銀行方面也會盡快協助使用者辦理換卡手續。攜程將給予這93名使用者每人500元任我行禮品卡作為補償。截至3月23日22:00,沒有接到攜程客服換卡通知的使用者,個人資訊均是安全的,無需擔心。”攜程方面表示。
分析
並未涉及支付寶
烏雲技術人員方曉頓告訴記者,本次涉及的資料僅為部分信用卡資訊,開通網上支付功能的銀行卡和支付寶並不涉及。
“銀行卡和支付寶在支付的時候都需要跳轉到銀行和支付寶頁面,並且每次支付都需要輸入卡號的密碼,安全係數比較有保障。”上海萬擎商務諮詢有限公司CEO魯振旺說。
據多位使用過信用卡支付的消費者介紹,很多電商平臺在支付時只需要輸入銀行卡後4位和CVV碼即可完成支付。魯振旺說,這就說明,電商平臺在伺服器上儲存了使用者的關鍵資訊,這是嚴重違規的行為。
影響:
使用者被建議及時更換信用卡
攜程旅行網作為線上旅遊市場份額最大的服務商之一,上述漏洞的影響範圍也較為龐大。對此,微博認證為“MediaV CTO,原Google技術總監”的網友“胡寧”說,使用者信用卡資訊洩露,並非犯低階技術錯誤這麼簡單。敏感資訊需加密儲存、線上開除錯功能需慎重、系統日誌要及時清理、伺服器安全性要達標,這都是常識。她認為,攜程應該做的是立即提醒被影響使用者換卡、道歉並賠償使用者因此導致的任何損失。
另有分析認為,儲存使用者CVV是不合理的,此次漏洞問題將對攜程的品牌有所影響。晚間,部分微博網友就表示,將因此與攜程“告別”,也有網友建議,使用信用卡在攜程上進行過支付的消費者,應該立刻更換信用卡。