3月22日晚��,烏云(WooYun)漏洞平臺(tái)披露:攜程旅行網(wǎng)支付日志存在嚴(yán)重漏洞���,用戶銀行卡信息可被黑客任意讀取�,其中包含持卡人姓名身份證��、銀行卡號(hào)�、卡CVV碼等。昨日攜程方面稱(chēng)將不再保存客戶的CVV(信用卡驗(yàn)證碼)信息�����,以前保存的那些CVV信息正在予以刪除�。
所存信息超出允許范圍
據(jù)了解,銀行卡CVV碼是卡號(hào)�、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字��,通常位于信用卡背面的卡號(hào)后位置���。有業(yè)內(nèi)人士表示,知道了CVV碼和信用卡卡號(hào)就差不多能進(jìn)行離線支付���,泄露后風(fēng)險(xiǎn)很大���。
根據(jù)銀聯(lián)相關(guān)規(guī)定標(biāo)準(zhǔn),各收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分����、差錯(cuò)處理所必需的最基本的賬戶信息,不得存儲(chǔ)銀行卡磁道信息���、卡片驗(yàn)證碼�����、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期����,攜程此前存儲(chǔ)的信息明顯超過(guò)該標(biāo)準(zhǔn)的允許范圍。
對(duì)于外界質(zhì)疑未經(jīng)過(guò)PCI DSS(支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))認(rèn)證���,昨日攜程方面也表示已經(jīng)啟動(dòng)了PCI和銀聯(lián)的認(rèn)證程序,以期更好地符合監(jiān)管要求����。攜程方面稱(chēng),將會(huì)按照監(jiān)管部門(mén)的要求���,盡快優(yōu)化完善用戶的支付流程�,加強(qiáng)內(nèi)部排查所有可能存在的漏洞�����。
攜程方面稱(chēng)已建立了信用卡安全服務(wù)小組��,將協(xié)助客戶與銀行溝通��,未來(lái)如果因攜程安全漏洞引起用戶損失����,公司將承擔(dān)全部責(zé)任并給予賠付。
對(duì)于網(wǎng)上流傳盜刷攜程賬號(hào)的問(wèn)題����,攜程方面稱(chēng)客戶信用卡信息的傳輸和保存始終處于加密狀態(tài)����,任何未經(jīng)授權(quán)的人員都無(wú)法取得這些資料��,且攜程旅行網(wǎng)的機(jī)票和度假等產(chǎn)品均為實(shí)名制產(chǎn)品����,可以追溯到實(shí)際消費(fèi)人。
業(yè)內(nèi)人士:
國(guó)內(nèi)公司多因成本考慮不愿PCI認(rèn)證
“攜程漏洞事件”引發(fā)社會(huì)關(guān)注���,昨日�����,在線旅游平臺(tái)去哪兒網(wǎng)對(duì)外表示�����,五大國(guó)際卡組織制定了一套保護(hù)持卡人數(shù)據(jù)的技術(shù)和操作的基本安全要求(PCI標(biāo)準(zhǔn)認(rèn)證)���,可惜目前在國(guó)內(nèi),出于成本考慮�,只有為數(shù)不多的企業(yè)通過(guò)了該項(xiàng)標(biāo)準(zhǔn)的合規(guī)評(píng)估和驗(yàn)證��。
據(jù)安全審核機(jī)構(gòu)atsec中國(guó)總經(jīng)理劉巖(微博)介紹��,“PCI DSS”中文全稱(chēng)為支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)��。它是由PCI安全標(biāo)準(zhǔn)委員會(huì)的創(chuàng)始成員(visa�、mastercard����、American Express�����、Discover Financial Services�、JCB五大國(guó)際卡組織)制定并維護(hù)的一套保護(hù)持卡人數(shù)據(jù)的技術(shù)和操作的基本安全要求措施。通過(guò)審核并持續(xù)維護(hù)PCI DSS標(biāo)準(zhǔn)的合規(guī)���,可以有效降低網(wǎng)站發(fā)生數(shù)據(jù)泄露的風(fēng)險(xiǎn)�����,保護(hù)支付數(shù)據(jù)的存儲(chǔ)和傳輸安全�����。
由于PCI認(rèn)證是對(duì)消費(fèi)者隱私信息加以保護(hù)的手段�,消費(fèi)者大多無(wú)法感知,而合規(guī)認(rèn)證本身又極為嚴(yán)苛�����,所以從成本上和技術(shù)實(shí)力上考慮�����,不少公司都不愿做過(guò)多投入�����。去哪兒網(wǎng)CTO吳永強(qiáng)表示:“PCI標(biāo)準(zhǔn)的審核非常嚴(yán)格���,且會(huì)落實(shí)到具體的技術(shù)實(shí)現(xiàn)細(xì)節(jié)���,目前在國(guó)內(nèi),只有去哪兒網(wǎng)等為數(shù)不多的企業(yè)通過(guò)了合規(guī)評(píng)估和驗(yàn)證��。”
