网易财经3月23日讯 针对乌云漏洞平台22日曝出的漏洞问题,携程当晚声明已经修复并承诺全额赔偿用户因安全漏洞引起损失,23日下午携程再度表示,此次漏洞仅涉及93名存在潜在风险的携程用户。但此次漏洞事件背后,携程保存用户银行卡信息被指违反银联规定,且未尽保护消费者的义务。
3月22日晚间,乌云(Woo Yun)漏洞报告平台发布报告称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。“同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取”。
据该报告,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV码(卡号、有效期和服务约束代码生成的3位或4位数字)、卡6位Bin(用于支付的6位数字),
对于该报告,携程当晚回应称,这是在技术调试过程中出现了短时漏洞,携程在两小时内修复了这个漏洞。携程声明,除了漏洞发现人做了少量的测试下载并已全部删除外,没有出现恶意下载有关数据的情况。
携程承诺,未来如果因安全漏洞引起用户损失,将承担全部责任并给予赔付,并强调“用户在携程的交易仍旧是安全的,用户的信息安全没有受到影响”。
23日下午,携程工作人士表示,此次漏洞共涉及93名存在潜在风险的携程用户,客服会于今日通知相关用户更换信用卡。但对于为何保存用户信用卡CVV码等信息,携程方面没有回应。
据悉,网上有不少携程用户担忧自己信用卡被泄密,并表示要去换卡或注销卡。
“携程及时声明承担赔偿责任值得认可”,上海鼎力律师事务所孙建中律师表示,但携程保存客户信息属于违反银联的规定,如果将客户资料出售则涉及违法,另外,从《消费者权益保护法》看,其技术手段未尽到保护消费者的义务。
根据银联2008年出台的《银联卡收单机构账户信息安全管理标准》,银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素,并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。
孙建中直言,此次漏洞事件中曝出携程保存用户银行卡信息,这个做法欠妥,“这更多的是考虑经营者自身的经济利益,而不是站为客户服务的角度”。(刘宝兴)