携程用户信用卡信息泄露 拷问OTA支付安全难题(2)
拷问OTA支付安全难题
“在线旅游行业应该是国内最早在机票、酒店领域实现信用卡预授权的行业,在支付宝和微信支付未流行起来之前,携程和艺龙作为在线旅游行业的代表,已经将线上支付通过信用卡的模式普及得非常优秀了。很多高端商旅用户都是因为携程和艺龙上具有便捷的信用卡支付功能,而使用它们的服务。事件会对这部分商旅用户群体产生比较大的影响。”郑荣锋指出。
在线旅游行业一资深合伙人向《每日经济新闻》记者透露,“实际上,OTA们对信息的安全是非常重视的,在我的观察里,不管是携程、去哪儿网还是艺龙,他们在数据保密方面还是做得很好的。”
“现在携程方面曝出用户(隐私)的泄露,也会对其他电子商务平台起到警示作用。OTA们应该迅速自查,避免类似的事件再次发生,影响消费者权益。”魏长仁说。
记者了解到,近年随着移动网络的发展、互联网理财产品的风靡,平板电脑、智能手机等手持终端设备的普及,新型移动支付领域也成了钓鱼软件、黑客等的觊觎之地。CNNIC最新数据显示,2013年因网上支付发生安全问题的网民数占整体上网人数的4.0%,影响人数达2010.6万人。其中,个人信息泄露比例达42.9%,账号密码被盗比例达23.8%。
层出不穷的新型骗术、花样翻新的黑客木马,无一不在拷问着网络支付安全问题。“创新永远伴随着风险,相关机构应提高自身安全技术业务;同时,希望更多宣传和普及用户安全意识教育。希望有更多国际知名信息安全认证机构一起保障用户的个人信息安全。这个过程就犹如监管和检查食品安全一样。”华美酒店顾问有限公司首席知识管理专家赵焕焱强调。
93名用户已安排换卡
3月23日,对于平台漏洞致使用户信用卡信息泄露问题,携程网发布公告,表示漏洞已经修复,而可能存在风险的只有93名携程用户,已经安排换卡。
但据银行客服反映的信息,携程网的公告安抚可能收效甚微。工商银行某客服人员告诉《每日经济新闻》记者,昨天打电话要换卡的人很多,“我自己就接了10个左右”。至于费用方面,该客服人员表示,换卡要收取20元手续费,马上可以办理。
招商银行客服人员告诉记者,“没有必要因为这个换卡”,并反复强调银行方面已经排查过风险,“如果确实要换,挂失费用60元。”
某股份行信用卡部管理人员崔先生告诉记者,事实上银行很难完全杜绝信用卡信息泄露,“我们有一个部门专门负责监控,但没有办法完全杜绝,因为银行自己也需要这方面的信息才能完成网上交易,不能排除被黑客截获破解的可能。”
银联资深风险专家王宇表示:“从目前披露的情况看,携程方面可能存在一些瑕疵。我们一直在积极推动相关机构严格落实相关要求,商户及收单机构不能留存持卡人的敏感信息,同时也要采取多种措施提升交易环节的信息安全管理。”
大数据安全蒙阴影
尽管其他网站并未暴露与携程网一样的风险,但大数据时代的网络信息安全还是受到拷问。
此前,包括当当网、亚马逊、京东商城、7天酒店在内的多家网站也曾爆出用户个人信息遭泄露的报告,但是个人信息与信用卡信息相比,携程网的纰漏显然更为严重。
安全专家举例说明,黑客可以通过用户的手机号码、银行卡号和CVV注册第三方支付账号,从而跳过用户和银行绑定的手机,进行盗刷,“这些数据可以用来创建或关联第三方支付,国内第三方支付公司多达几百家,可以利用的点很多。受害者可能随时出现资金被盗。”
对此,携程网人士解释称,这是携程旅行网在技术调试过程中,出现了短时漏洞。“除漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况,用户在携程的交易仍旧是安全的,用户信息没有受到影响。”
MediaVCTO、原Google技术总监胡宁分析,可能携程并未故意存储CVV信息,但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞。一步错,步步错,“用户信用卡信息泄露,并非犯低级技术错误这么简单。敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识。”胡宁说。
据悉,携程已建立安全应急响应中心,并设立了信息安全奖励基金,奖励为携程找出漏洞的信息安全卫士。此事也给当前火热的网络支付以及大数据安全蒙上阴影。