3月22日晚����,烏云(WooYun)漏洞平臺披露:攜程旅行網(wǎng)支付日志存在嚴(yán)重漏洞����,用戶銀行卡信息可被黑客任意讀取�����,其中包含持卡人姓名身份證�、銀行卡號、卡CVV碼等���。昨日攜程方面稱將不再保存客戶的CVV(信用卡驗證碼)信息����,以前保存的那些CVV信息正在予以刪除�。
所存信息超出允許范圍
據(jù)了解,銀行卡CVV碼是卡號���、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字����,通常位于信用卡背面的卡號后位置�����。有業(yè)內(nèi)人士表示,知道了CVV碼和信用卡卡號就差不多能進(jìn)行離線支付�,泄露后風(fēng)險很大。
根據(jù)銀聯(lián)相關(guān)規(guī)定標(biāo)準(zhǔn)�����,各收單機(jī)構(gòu)系統(tǒng)只能存儲用于交易清分�����、差錯處理所必需的最基本的賬戶信息�����,不得存儲銀行卡磁道信息�����、卡片驗證碼�����、個人標(biāo)識代碼(PIN)及卡片有效期�����,攜程此前存儲的信息明顯超過該標(biāo)準(zhǔn)的允許范圍�。
對于外界質(zhì)疑未經(jīng)過PCI DSS(支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))認(rèn)證,昨日攜程方面也表示已經(jīng)啟動了PCI和銀聯(lián)的認(rèn)證程序��,以期更好地符合監(jiān)管要求�。攜程方面稱,將會按照監(jiān)管部門的要求���,盡快優(yōu)化完善用戶的支付流程���,加強(qiáng)內(nèi)部排查所有可能存在的漏洞。
攜程方面稱已建立了信用卡安全服務(wù)小組��,將協(xié)助客戶與銀行溝通��,未來如果因攜程安全漏洞引起用戶損失�����,公司將承擔(dān)全部責(zé)任并給予賠付���。
對于網(wǎng)上流傳盜刷攜程賬號的問題��,攜程方面稱客戶信用卡信息的傳輸和保存始終處于加密狀態(tài)�����,任何未經(jīng)授權(quán)的人員都無法取得這些資料�����,且攜程旅行網(wǎng)的機(jī)票和度假等產(chǎn)品均為實(shí)名制產(chǎn)品��,可以追溯到實(shí)際消費(fèi)人�。
業(yè)內(nèi)人士:
國內(nèi)公司多因成本考慮不愿PCI認(rèn)證
“攜程漏洞事件”引發(fā)社會關(guān)注�,昨日,在線旅游平臺去哪兒網(wǎng)對外表示�,五大國際卡組織制定了一套保護(hù)持卡人數(shù)據(jù)的技術(shù)和操作的基本安全要求(PCI標(biāo)準(zhǔn)認(rèn)證),可惜目前在國內(nèi)�����,出于成本考慮���,只有為數(shù)不多的企業(yè)通過了該項標(biāo)準(zhǔn)的合規(guī)評估和驗證�。
據(jù)安全審核機(jī)構(gòu)atsec中國總經(jīng)理劉巖(微博)介紹����,“PCI DSS”中文全稱為支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)���。它是由PCI安全標(biāo)準(zhǔn)委員會的創(chuàng)始成員(visa、mastercard�、American Express、Discover Financial Services��、JCB五大國際卡組織)制定并維護(hù)的一套保護(hù)持卡人數(shù)據(jù)的技術(shù)和操作的基本安全要求措施�����。通過審核并持續(xù)維護(hù)PCI DSS標(biāo)準(zhǔn)的合規(guī)���,可以有效降低網(wǎng)站發(fā)生數(shù)據(jù)泄露的風(fēng)險�����,保護(hù)支付數(shù)據(jù)的存儲和傳輸安全�。
由于PCI認(rèn)證是對消費(fèi)者隱私信息加以保護(hù)的手段��,消費(fèi)者大多無法感知�,而合規(guī)認(rèn)證本身又極為嚴(yán)苛,所以從成本上和技術(shù)實(shí)力上考慮���,不少公司都不愿做過多投入�。去哪兒網(wǎng)CTO吳永強(qiáng)表示:“PCI標(biāo)準(zhǔn)的審核非常嚴(yán)格,且會落實(shí)到具體的技術(shù)實(shí)現(xiàn)細(xì)節(jié)���,目前在國內(nèi)���,只有去哪兒網(wǎng)等為數(shù)不多的企業(yè)通過了合規(guī)評估和驗證。”
