|
||||
3月22日晚,烏雲(WooYun)漏洞平臺披露:攜程旅行網支付日志存在嚴重漏洞,用戶銀行卡信息可被黑客任意讀取,其中包含持卡人姓名身份證、銀行卡號、卡CVV碼等。
本報3月24日報道《攜程被爆泄露用戶銀行卡信息》,質疑攜程超范圍保留用戶信用卡信息。昨日攜程方面稱將不再保存客戶的CVV(信用卡驗證碼)信息,以前保存的那些CVV信息正在予以刪除。
所存信息超出允許范圍
據了解,銀行卡CVV碼是卡號、有效期和服務約束代碼生成的3位或4位數字,通常位於信用卡背面的卡號後位置。有業內人士表示,知道了CVV碼和信用卡卡號就差不多能進行離線支付,泄露後風險很大。
根據銀聯相關規定標准,各收單機構系統只能存儲用於交易清分、差錯處理所必需的最基本的賬戶信息,不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼(PIN)及卡片有效期,攜程此前存儲的信息明顯超過該標准的允許范圍。
對於外界質疑未經過PCI DSS(支付卡產業數據安全標准)認證,昨日攜程方面也表示已經啟動了PCI和銀聯的認證程序,以期更好地符合監管要求。攜程方面稱,將會按照監管部門的要求,盡快優化完善用戶的支付流程,加強內部排查所有可能存在的漏洞。
攜程方面稱已建立了信用卡安全服務小組,將協助客戶與銀行溝通,未來如果因攜程安全漏洞引起用戶損失,公司將承擔全部責任並給予賠付。
對於網上流傳盜刷攜程賬號的問題,攜程方面稱客戶信用卡信息的傳輸和保存始終處於加密狀態,任何未經授權的人員都無法取得這些資料,且攜程旅行網的機票和度假等產品均為實名制產品,可以追溯到實際消費人。
業內人士:
國內公司多因成本考慮不願PCI認證
『攜程漏洞事件』引發社會關注,昨日,在線旅游平臺去哪兒網對外表示,五大國際卡組織制定了一套保護持卡人數據的技術和操作的基本安全要求(PCI標准認證),可惜目前在國內,出於成本考慮,只有為數不多的企業通過了該項標准的合規評估和驗證。
據安全審核機構atsec中國總經理劉岩(微博)介紹,『PCI DSS』中文全稱為支付卡產業數據安全標准。它是由PCI安全標准委員會的創始成員(visa、mastercard、American Express、Discover Financial Services、JCB五大國際卡組織)制定並維護的一套保護持卡人數據的技術和操作的基本安全要求措施。通過審核並持續維護PCI DSS標准的合規,可以有效降低網站發生數據泄露的風險,保護支付數據的存儲和傳輸安全。
由於PCI認證是對消費者隱私信息加以保護的手段,消費者大多無法感知,而合規認證本身又極為嚴苛,所以從成本上和技術實力上考慮,不少公司都不願做過多投入。去哪兒網CTO吳永強表示:『PCI標准的審核非常嚴格,且會落實到具體的技術實現細節,目前在國內,只有去哪兒網等為數不多的企業通過了合規評估和驗證。』