用卡者CVV码等核心信息或遭泄
携程漏洞引用户担忧
携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
3月22日晚间,乌云网上一位名为猪猪侠的“漏洞作者”爆出了携程方面的猛料,而在讲述了这些颇为晦涩的技术语言背后,对方直接给出了这一漏洞造成的后果。在携程进行过支付行为的客户可能会将自己的一系列核心信息泄露出去,其中就包括“持卡人姓名、持卡人身份证、所持银行卡类别(比如,招商银行(9.84, 0.00, 0.00%)信用卡、中国银行(2.54, 0.01, 0.40%)信用卡)、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin(用于验证支付信息的6位数字)”。在电子支付十分普遍的今天,这些信息毫无疑问都是用卡者的核心信息。
不过,记者昨日采访中也了解到,因为支付限额等因素的存在,盗用信息者想要利用这些信息牟取暴利仍不容易。“很多银行的信用卡进行网上支付都有支付限额,而且不少支付行为超过一些限额之后,都会验证客户手机上的动态验证码,所以从目前看来,即使有人盗取了信息,也很难大规模地透支客户个人的账户。”一位银行业内人士表示,不过用户信用卡的CVV码即银行信用卡背后的三位验证码被泄露,这还是比较麻烦的,在某些第三方支付平台上,可能直接验证CVV码就可进行消费,这也会给用卡人带来损失。
不过,从目前看来,盗取信息的人至多能轻松进行手机充值等小规模的消费行为,而过于频繁的支付行为也会让其遭到银行方面的监控。
已通知93名潜在风险用户换卡
携程承诺承担全部损失
携程漏洞仍然令不少人心惊胆战,对此,携程方面在接受记者采访时表示,已在问题发现的两小时内修复了这个漏洞。
经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。
携程方面表示,该公司客服已在昨日通知相关用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。截至3月23日22:00,没有接到携程客服换卡通知的用户,个人信息均是安全的,无需担心。而另一方面,携程已通知存在潜在风险的93名用户更换信用卡。经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况。
携程方面同时承诺,未来如有客户因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。为了更好地保障用户及网站的安全,携程将广邀信息安全卫士,一起来加固系统信息安全。
不少用户网上呼吁换卡
专家建议密切关注账单异动
然而,很多用户对于携程方面给出的回应仍不放心,一时之间,网上换卡的呼声此起彼伏。而一位换卡成功的被采访人也表示银行方面也对此十分配合。
“多吓人啊,这种事儿谁说的清楚,我还是先换卡吧。”记者的一位朋友就表示,自己是携程的“重度用户”,还是觉得有些担心,干脆换卡为上,而身边的不少人也有同样的想法。
“携程泄密事件,一夜间蒸腾起来,有鼻子有眼。上周第一次在携程支付,不由得心虚啊!宁可信其有吧。”记者的另一位朋友则表示,昨日已经试着联系了招行信用卡中心,“本想咨询一下,结果,人家听罢原委,当即回复可以立刻废除旧卡,换号的新旧两个工作日送达。这是多快的反应啊!”由此可见,银行方面也对此十分配合。
对此,网络安全专家也建议,如果广大客户不放心,也可随时注意检查信用卡账单和消费短信,如果发现异常,就及时联系银行和携程方面,以减轻损失。当用卡人已确定发现了信用卡交易出现异常,并怀疑自己的用卡信息发生了泄露,那就要及时联系银行,更换新卡。
专家:谨防利用携程事件进行诈骗
相关报道
近日,漏洞报告平台乌云网公布了一条网络安全漏洞信息,指出携程安全支付日志可下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin),并称已将细节通知厂商并且等待厂商处理中。此外,携程还被爆某分站源代码包可直接下载(涉及数据库配置和支付接口信息)。对于这样突发的信息泄露事件,360手机安全专家朱翼鹏提醒用户近日需多加注意信用卡信息安全,同时需高度警惕假冒携程或银行信用卡中心名义实施诈骗的电话、短信,如果收到类似电话、短信,千万不要轻信!
根据携程的回应,可能受到该漏洞影响的为3月21日与3月22日的部分交易客户,并表示如果有用户因为该漏洞造成财产损失,携程将赔偿损失。由于该事件直接涉及财产问题,引发了不少市民的恐慌。而一些诈骗者正是利用市民的恐慌心态,借机实施电信诈骗,伪造类似短信或者客服电话:“携程被爆出现安全漏洞,可导致您银行卡信息泄露,请及时登录以下网址:http://×××修改银行卡密码,以保证银行卡内资金安全。请联系:400*****”
360手机安全专家介绍,短信中的链接可伪造成钓鱼网址,骗取用户输入信用卡号、密码等个人私密信息,导致银行卡关键信息泄露,最终造成银行卡内资金被盗。
专家提醒,由于携程漏洞事件直接涉及用户银行账户安全,因而用户关注度高,一旦接收到提醒修改银行卡密码的短信或电话,切勿轻信,不要轻易访问短信内网址。回拨短信内电话时,也要与信用卡卡片上的客服电话核对确保无误;同时可使用360手机卫士拦截这类诈骗短信,如果确认为诈骗短信,也请及时将其举报。
(责任编辑:洛熙)