继如家等连锁酒店被曝出泄露客人信息后,又一家大型企业被指泄密客户信息。《财经日报》昨日获悉,携程(49.49, 0.01, 0.02%)(CTRP.NASDAQ)在22日被国内安全漏洞监测平台“乌云网”披露:携程旅行网支付日志存在漏洞,用户银行卡信息可被黑客任意读取。携程昨日坦承漏洞的确存在,其已进行修补,并已通知存在潜在风险的93名用户更换信用卡。
3月22日晚间,携程被一片“乌云”笼罩。当日,乌云漏洞平台披露:由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
乌云平台指出,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,其中包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。
携程方面承认漏洞存在。携程昨日向《财经日报》表示,其已展开技术排查,并在2小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。
携程表示,经排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。3月22日晚至23日,携程已通知存在潜在风险的93名用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况。
携程承诺,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。携程同时表示,将加固系统信息安全。
但有消费者担心,假如发生信用卡损失,如何证明与携程有关?
微博名为“原子小金刚君”的网友指出,携程的声明从法律和逻辑上看起来没问题,但假如用户被盗刷了,如何先证明信息是从携程泄露的呢?
主动披露携程漏洞问题的乌云漏洞平台,是一个位于厂商和安全研究者之间的安全问题反馈平台。该平台上有不少“白帽子”,即具有专业技术者,他们有时也会以“骇客”身份进行漏洞检查,但“白帽子”不会恶意牟利,而是善意提醒发生漏洞的企业进行修补。此前乌云曾发现如家等知名连锁酒店有泄露客户信息的问题,并对此进行了披露。
去年10月,乌云平台披露,自称是中国的酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。
“现在各大OTA、购物网站等都在力拓(52.65, 0.65, 1.25%)无线端,近期打得不可开交的在线旅游和购物价格战都是为了争夺无线端客户。为了抢个微信红包或获得旅游产品返现等,很多年轻客户捆绑银行卡,但是这种便捷的在线支付背后或许蕴藏着很大的危机。如何监管这些因为网络化经济而带来的支付风险是个十分严峻的问题。”华美首席知识专家赵焕焱分析。
ICkey(云汉芯城)是一家一站式电子元器件采购网, 提供Digikey、Mouser(贸泽)、Element14(e络盟)、Wpi(大联大)、Future(富昌)、Avnet(安富利)、Arrow(艾睿)、Chip1stop、Onlinecomponents、Master等主流供货商的芯片采购服务,在IC采购, 元器件交易和IC交易业务领域中排名的在线采购平台。