22日,“携程”被曝有泄露银行卡信息风险,随后该公司回应“已修复”且网站仍安全。继“酒店开房信息遭泄露”“QQ用户信息秒查”“浏览器泄露用户隐私”之后,用户隐私安全的敏感神经再一次被挑动。用户疑问,我们的隐私安全与信任还经得起多少个“携程”事件?
3月22日,乌云安全漏洞平台公布了关于“携程安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时由于服务器未做到严格的安全配置,使所有支付过程中的调试信息面临安全风险。
漏洞发现者列举了泄露信息类型,包括持卡人姓名、身份证号、持卡类别、卡号、CVV码等信息。业内人士指出,这些数据一旦被泄露,将会给用户资金安全带来风险。
数小时后,携程旅行网官方微博回应称,“漏洞”系该公司技术调试中的短时漏洞,并已在两小时内修复。并称,除了漏洞发现人做了测试下载且已删除外,没出现恶意下载的情况,携程网站的信息安全没受到影响。
安全企业奇虎360首席隐私官谭晓生说,从已知信息来看,仍不能准确断定是否已经有大规模泄露发生,真正的情况只有当事企业自己清楚。
值得注意的是,此次事件中,携程记录了涉及用户信用卡CVV码等支付关键信息。
谭晓生表示,如果网站为了提升用户支付体验,选择记录CVV等信息,那么,网站一定要明确告知,并获得消费者许可。一旦记录了这些信息,企业就一定要妥善保管,并按约定及时销毁,不做他用。“尤其是卡号、姓名、CVV等信息,一旦泄露直接威胁用户资金安全。”
实际上,从2013年开始,陆续有“信息秒查”“隐私曝光”“泄露资料”等新闻见诸媒体。不少案例中,当事企业均表示没有发生泄漏,消费者也只能相信企业说法。公众困扰、担忧最终也不了了之。长此以往,消费者的信任度、忠诚度难免受到影响。
“陆续有互联网信息安全隐患被曝光,说明部分企业并没有把用户隐私和数据安全放在很明确的位置,安全意识不足。”谭晓生指出,随着越来越多的企业记录用户的隐私信息、银行卡信息等,企业应当意识到,用户隐私信息是个“烫手的山芋”,一旦获得必须做到妥善保管、严密自查。
业内专家表示,隐私安全部署应当被放在企业“生命线”的高度来重视,唯有此,才能安抚饱受刺激的消费者神经,才能重获消费者的信任。