发帖
雷达卡
支付存漏洞携程承诺损失全赔 国内最大的在线旅行服务商携程旅行网陷入“支付漏洞”风波。上周六晚间,携程网被曝存在系统技术漏洞,可导致用户身份证、银行卡号、卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)、6位卡Bin码(用于支付的6位数字)等信用卡信息泄露。携程网当晚23时许回应称,此前已经对存在的问题进行了修复,并承诺全额赔偿可能造成的用户经济损失。
北京商报记者从携程网了解到,目前93名潜在风险用户已被通知换卡,其余用户用卡安全暂未受影响。携程网方面表示,事件发生后,公司同各大银行均取得联系,经核实,目前没有出现信用卡被盗刷的情况,倘若用户因为该漏洞造成财产损失,携程网将给予赔付。
曝出此次携程技术漏洞的乌云网人士同时提到,一直以来携程网人工客服会向用户直接索要信用卡有效期和CVV码等敏感信息,并在系统内存储该信息。据业内人士介绍,信用卡的CVV码又被称做“第二密码”,控制着该卡的交易授权,只要提供正确的CVV码,就能完成支付环节。
对此携程网方面表示,按照相关银行的支付规定,部分银行用户交易时,需提交CVV信息,否则交易无法达成。业内人士也承认,相关规则确实存在,无论通过何种网站欲与此类银行发生交易,都必须提交CVV信息,目前国内大部分在线支付的网站操作方式与携程网相同。携程网表示,公司在取得用户授权后,会保存非CVV信息,而未扣款成功的CVV信息会被暂存7天,目的是为了降低用户费力度与协助用户便捷支付。
若用户未授权,所有相关信息在交易成功后将立即删除。未扣款成功的交易,将在7天内删除CVV信息。携程网的做法,符合PCI-DSS(第三方支付行业数据安全标准)规定。如授权后的客户想要取消授权,则可以在“我的携程”频道中,“常用信息管理”的“常用信用卡”一栏中,删除个人授权保存的银行卡信息。
在国内旅游领域,酒店等信息泄露并非首次。2013年10月,国内安全漏洞监测平台“乌云网”披露,自称是中国最大的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。数日后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。开房数据中,开房时间介于2010年下半年至2013年上半年,包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间。
京公网安备 11010802022788号
