携程“信用卡门”曝漏洞

　　携程“信用卡门”曝漏洞

　　3月22日晚上，乌云(WooYun)漏洞平台发布消息称:“携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器，有可能被黑客所读取。”“同时，因为保存支付日志的服务器未做较严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。”

　　对此，携程称，已立即对此展开技术排查，并在两小时内修复了这个漏洞。“经携程排查，仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。携程客服于今日(3月23日)通知相关用户更换信用卡，银行方面也会尽快协助用户办理换卡手续。”携程在公告中强调，“携程承诺，您的网络支付是安全的。携程用户持卡人的支付信息，如姓名、身份证、银行卡号、卡CVV码、6位银行卡BIN(与6位支付密码无关)均按照国际信用卡支付安全标准要求，经过加密处理，携程对所有用户的信息安全全权负责。”

　　在漏洞曝出后，一些持卡人连夜要求换卡，银行也加班制定应急方案。据了解，招行、浦发等银行都针对此事减免了信用卡挂失手续费。招行信用卡中心官方微博于3月23日14:00表示，“针对此次携程客户信息安全事件，我行在第一时间就联系携程公司，根据其反馈情况，对21日至22日可能涉及的卡片完成了必要的风险排查及防范措施。”“为保证您的卡片安全，我们已提高了风险监测与防范等级，并密切跟踪携程公司的相关进展，请您安心用卡，我们将会根据需要主动联络相关持卡人并采取必要措施。”中行信用卡官方微博当晚亦发表了类似的“安民告示”。

　　与技术问题相比，携程是否有意存储了用户信用卡的CVV等信息，成为是非焦点。中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》中提到:“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”

　　据报道，携程网杭州分公司相关负责人表示:“携程按照相关银行的支付规定，部分银行用户交易时，需提交CVV信息。用户授权后，携程会保存非CVV信息。未扣款成功的CVV信息会被暂存7天，目的是为了降低用户费力度与协助用户便捷支付。若用户未授权，所有相关信息在交易成功后将立即删除。未扣款成功的交易，将在7天内删除CVV信息。携程的做法，符合PCI-DSS(第三方支付行业数据安全标准)规定。”

　　不过，汽车之家创始人兼总裁李想在微博上表示，“存储了用户信用卡的CVV，还泄漏了。前一个是企业的基本道德问题，后一个是安全问题。”“有些信息可以存，有些信息无论如何也不能存，携程存了无论如何也不该存的CVV，这相当于把你信用卡的密码存储并泄漏了。需要输入CVV和存储CVV是两个概念。”

　　我爱卡(www.51credit.com) 是，银行授权信用卡申请合作网站，安全、便捷、高效!申请信用卡请访问我爱卡网在线申请通道：//cc.51credit.com/