环境观察员

环境观察员
环境赐予人类相信真理的力量

张俪:携程 你保存用户信用卡的CVV干什么?

张俪:携程 你保存用户信用卡的CVV干什么?

  所谓CVV,是由卡号、有效期和服务约束代码生成3位或4位数字,一般写在卡片磁条2磁道用户自定义数据区里面。而无需密码支付的方式也叫信用卡“离线交易”,仅凭卡号、CVV码等信息即可完成支付。

  3月22日,国内知名漏洞报告平台乌云网公布了“携程安全支付日历导致用户银行卡信息泄露”的相关信息。

  乌云漏洞平台发布消息称,携程旅行网支付日志存在漏洞,或导致大量用户银行卡信息泄露。该消息一出,引发业内一片哗然。

  漏洞发现者指出,虽然携程表示漏洞已经修复,但携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。而该信息加密级别并不够高,可以被骇客轻易获取。有专家表示,携程保存客户银行卡信息属于违反银联的规定。

  [事件]

  “不小心”泄露用户信用卡信息

  记者了解到,3月22日晚6时许,漏洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息,指出携程网安全支付日志可被遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin),并称该漏洞已经过携程确认。

  两小时后,携程回应称,这是在技术调试过程中出现了短时漏洞,携程在两小时内修复了这个漏洞。携程声明,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况。携程同时承诺,未来如果因安全漏洞引起用户损失,将承担全部责任并给予赔付,并强调“用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响”。

  23日下午,针对漏洞事件,携程再次发表申明,“携程的技术开发人员为了排查系统疑问在线上环境开启了支付调试功能,留下了临时日志,因疏忽未能及时删除,目前,这些信息已经删除。经过排查,仅漏洞发展者做了测试下载,共涉及93名存在风险的携程用户。没有接到携程电话通知的用户,个人信息是安全的。”但对于为何保存用户信用卡CVV码等信息,携程方面没有回应。

  [业内]

  CVV被泄露系违规操作

  所谓CVV,即 Card Verifi-cation Value,是由卡号、有效期和服务约束代码生成3位或4位数字,一般写在卡片磁条2磁道用户自定义数据区里面。无需密码支付的方式也叫信用卡“离线交易”,仅凭卡号、CVV码等信息即可完成支付。通俗理解就是,携程将银行卡数据包保存在本地,同时支付日志存在安全漏洞,数据信息可以被陌生人下载。“交易网站存CVV相当于小时工偷偷配了你家的钥匙,同时,他还知道关于你家所有的信息。而携程存储了用户信用卡的CVV,还泄漏了,前一个是企业的基本道德问题,后一个是安全问题。”某业内人士表示,“有些信息可以存,有些信息无论如何也不能存,携程存了无论如何也不该存的CVV,这相当于把你信用卡的密码存储并泄漏了。需要输入CVV和存储CVV是两个概念。这时候还帮着携程说话的,就是典型的被卖了还帮着数钱的。”

  有专家表示,CVV安全码相当于信用卡“第二密码”,需要用户妥善保管,“同时根据银联的规定,受理终端不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期,携程这一做法一直在打擦边球。”

  背后风险

  支付系统存漏洞 内部管理令人担忧

  有银行人士告诉记者,事实上银行很难完全杜绝信用卡信息泄露,“我们有一个部门专门负责监控,但没有办法完全杜绝,因为银行自己也需要这方面的信息才能完成网上交易,不能排除被黑客截获破解的可能。”“此次携程所泄露的银行卡信息已足以用于信用卡复制、克隆,风险等级很高,安全起见注销原卡更换新卡是最佳选择,若不想更换信用卡,市民今后需留心信用卡账单是否存在可疑消费记录,以及留意信用卡消费确认短信。”某商业银行信用卡中心工作人员建议,“近期在携程使用过信用卡的持卡人,应该尽快与发卡银行取得联系,根据银行建议采取进一步措施。”“从目前情况看,携程的支付系统的确存在很多不确定性,风险程度很高。除了黑客盗取信息,公司内部对用户信息管理情况也令人担忧。”一位安全领域技术专家表示,“虽然不少携程的用户在看到消息之后,已经连夜向银行申请取消信用卡。但从已知信息来说,仍不能准确断定是否已经有大规模泄露发生。同时随着移动互联网的到来,未来移动端安全问题更为突出。”

  用户焦虑

  多家银行建议用户换卡

  “一大早刚开机,就收到朋友的信息,都是问我绑定携程的信用卡有没有被盗刷。”在一家英语培训机构做讲师的冯女士来到招商银行网点更换信用卡。“第一次用信用卡在携程网买机票时,提供了很完整的信息,此后再买的话,只需提供卡号后四位及CVV码就能支付了,当时我光想着便捷,但没想过携程会储存我的信息,现在非常担心信息被泄露。”

  记者也看到,从上周六晚上,就有很多网友在微信朋友圈和微博中纠结这一问题。有些人认为有必要换卡,因为一旦发生异国盗刷,讨要损失非常折腾。还有的人认为没有必要杞人忧天,因为信用卡消费有短信提醒,一旦发生可疑交易,会第一时间得到银行的消息。记者获悉,这个周末多家银行已接到部分曾在携程进行过支付的用户的换卡申请,不过更多的用户抱观望态度。

  记者了解到,目前携程已和各银行核实确认,表示并没出现用户信用卡被盗刷的情况。“携程对所有用户信息安全全权负责,如因此产生任何风险及损失,携程将全额赔付承担。”携程方面称,携程还设立了总额500万元的信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。“只有在21、22号期间发生购买行为的用户才有可能有风险,其他用户没有风险。”记者从招商银行客服处了解到。“没有必要所有人因为这个换卡,银行方面已经排查过风险,如果确实要换,挂失费用60元。”

  事件进展

  ◆3月22日晚6时

  乌云网指出携程网安全支付日志可被遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin)。

  ◆两小时后

  携程回应称,这是在技术调试过程中出现了短时漏洞,在两小时内修复了这个漏洞。

  ◆23日下午

  携程再次发表申明称,是技术开发人员为了排查系统疑问在线上环境开启了支付调试功能,留下了临时日志,因疏忽未能及时删除。目前,这些信息已经删除。

环境观察员 版权所有,未经允许不得转载:环境观察员 » 张俪:携程 你保存用户信用卡的CVV干什么?
分享到: 更多 (0)

猜你也想读下面的文章: