从前天晚上至昨日上午,携程客服接到咨询及要求解除银行卡绑定的电话不断,招行、浦发等多家银行的信用卡部也“躺着中枪”,连夜为众多银行卡客户更换银行卡。
■ 被曝安全漏洞后众多用户冻结银行卡
■ 有IT人士称商家不应收集信用卡验证码
一个银行支付安全漏洞让知名旅游网站携程网突然成为“众矢之的”。
虽然携程声称已在事发后2小时内修复漏洞,但仍引发众多携程注册会员紧张。从前天晚上至昨日上午,携程客服接到咨询及要求解除银行卡绑定的电话不断,招行、浦发等多家银行的信用卡部也“躺着中枪”,连夜为众多银行卡客户更换银行卡。
根据乌云(WooYun)漏洞平台近日披露的携程网安全漏洞信息,漏洞发现者声称携程网支付过程中的调试信息可被任意黑客读取,导致持卡人姓名、身份证、信用卡号等信息泄露。
携程两天内连发两条声明称,此次漏洞共涉及93名存在潜在风险的携程用户,其他会员的个人信息均是安全的,无需担心。截至目前,没有发生携程用户信用卡被盗刷的情况。招行等银行随后停止为相关用户换卡。
不过,已有不少网友质疑携程记录用户银行卡信息是“一种过度收集用户信息行为,完全不必要收集”。携程则回应,这完全符合规定。
银行:漏洞修复后已停止换卡
根据携程的服务规则,用户如果通过携程预订旅游、机票、酒店等,一般会用信用卡或普通储蓄卡支付,从而留下卡号、卡背后三位数字的验证码(CVV)等银行卡信息。
3月22日晚,携程网第一时间回应媒体称,已经对乌云网曝光的问题进行了迅速修复。不过,携程公开回应的信息似乎并未让众多绑定银行卡的注册会员放心,携程网的客户仍各自寻找方法,解除银行卡绑定。
市民游小姐是携程网的注册会员,此前曾在携程支付端绑定了浦发银行的信用卡。当晚得知携程网被曝光技术漏洞消息后,第一时间电话给浦发银行客户服务,要求银行方面帮助她冻结银行卡,并重新换卡。
“我的信用卡有8万元的授信额度,我不能因为携程的错误给我造成损失或带来风险。”游小姐说,她在几年前就将信用卡绑定在携程网的支付端,每次支付时,只需要输入信用卡的后四位卡号以及卡背面的认证码。游小姐担心,如果有人通过携程的技术漏洞,盗取了她银行卡的信息,就能轻松转走她卡内的授信金额。
游小姐说,浦发银行客户服务人员答应了她的要求,帮她冻结这张银行卡,并承诺很快为她换发新卡。
同样的场景当晚也在招商银行上演。招行信用卡中心客服人员昨天告诉早报记者,22日晚他们的热线电话被打到爆,因为招行与携程曾合作开办过一种联名信用卡,他们的携程会员客户比其他银行更多。
“我们确实为许多客户办理了冻结及换卡业务,不过23日上午就停止办理了。”这名客服人员解释,23日上午,他们已经接到携程方面告知的“漏洞修复”信息,“已经安全了,就不必重新换卡了。”
漏洞发现者:用户信息目前未泄露
与几个相关银行比较起来,咨询电话最热的当然还是携程网的客服部门。携程客服人员抱怨,从22日晚到23日上午,这类电话几乎就没停过。客服人员先是告诉绑定银行卡的会员,自己可以解除绑定;23日后又反复告诉用户“漏洞已经修复,用户很安全”。
昨日下午,携程官方再发信息,称漏洞已经成功修复,注册会员个人信息均是安全的,无需担心。
在这份声明中,携程解释漏洞发生原因,技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。携程客服已于23日通知相关用户更换信用卡。截至3月23日22:00,没有接到携程客服换卡通知的用户,个人信息均是安全的,无需担心。截至目前,未发生携程用户信用卡被盗刷的情况。
就在携程再次发布信息的同时,在乌云网上曝光这则信息的“猪猪侠”在其个人微博发布声明称:“大家对于信用卡相关话题的反应有点过于敏感了,目前本人已经将安全测试涉及的日志信息彻底删除,而且卡号等敏感信息有加密, 携程也已经及时修复漏洞,相关信息并没有被传播。”
携程:获取用户信息符合规定
携程安全漏洞被曝光事件眼看将告一段落,不过,还有不少人对携程网在支付环节记录用户银行卡信息进行质疑。“这是一种过度收集用户信息行为,类似用户的CVV码、6位卡Bin等,携程完全不必要收集,而应该让用户转到银行专门网站上输入。”金山毒霸安全专家李铁军表示。
对此,携程有关人员昨晚回应称,按照相关银行的支付规定,部分银行用户交易时,需提交CVV信息,用户授权后,携程会保存非CVV信息,而未扣款成功的CVV信息会被暂存7天,目的是协助用户便捷支付。若用户未授权,所有相关信息在交易成功后将立即删除。未扣款成功的交易,将在7天内删除CVV信息。
该人士强调,携程的做法,符合PCI-DSS(第三方支付行业数据安全标准)规定。