本报讯,“走Visa通道,只要卡号、安全码就可以扣款,这么说来,所有在携程网上用过的信用卡都不安全了?”漏洞报告平台乌云网曝光携程网卷入“信用卡门”一事,让长沙某汽车品牌店的企划经理唐晓星(化名)惊出一声冷汗。
唐晓星出差频繁,经常用携程网预订酒店和机票、动车票等,而她手中两张信用卡的信息全部在携程网上注册过。按照一些IT人士的说法,唐晓星的信用卡信息,从卡号、姓名、身份证号码到CVV码,“该有的不该有的,携程网都有了”,而银行的朋友建议“最近用信用卡跟携程消费过的同学赶紧把卡冻结了”。想到种种可能产生的后果,唐晓星马上与银行信用卡中心沟通了换卡事宜。
违规私存用户信用卡信息
3月22日18时许,来自漏洞报告平台乌云网的消息称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包,均直接保存在本地服务器日志里。漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字),上述信息有可能被黑客所读取。
根据中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》,收单机构系统只能存储用于交易清分、差错处理所必须的最基本账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期等账户敏感信息。显然,携程日志中存储的信息已经超过了该标准允许的范围。
持卡人紧急办理挂失换卡
记者查阅到,乌云网披露“厂商回复”信息栏显示:“携程技术人员已经确认该漏洞,并在两小时内及时修复,对于乌云平台发现的漏洞信息表示感谢。该漏洞受影响的用户为近期的部分交易客户,目前并没有用户受到该漏洞的影响而造成相应财产损失的情况发现。”
携程网23日7时许在官方微博发布的消息则表示,已与各大银行取得联系,目前尚未出现用户信用卡被盗刷的情况,并承诺“未来倘若发生安全漏洞并引起用户损失,携程将全额赔付”。
尽管如此,还是有不少用户对自己的信用卡信息泄露表示出了担忧,纷纷联系信用卡中心要求更换信用卡。就职于某地产公司的白领陈金城表示:“CVV码等信息外泄,别人可以像用自己的卡一样盗刷,我又该如何举证被盗刷?不换卡的人,以后估计会被盗得不明不白。”据了解,CVV码是信用卡的关键敏感信息,又被称作“第二密码”,只要提供正确的CVV码,就能完成支付环节。
基于事件对持卡人的影响,昨日招行在官方微博发布“针对携程客户信息安全事件的公告”,并为需紧急换卡用户提供免费换新卡。中信银行长沙分行信用卡中心戴向华则向记者表示,如果持卡人不放心,可以联系信用卡发卡行客服,咨询盗刷的概率,决定是否换卡。(记者 李素平)