APP下载

携程变相承认不该记录用户敏感信息

2014-04-23江欢

投资者报 2014年12期
关键词:携程漏洞信用卡

江欢

随着携程网漏洞事件发酵,更多人意识到因为技术漏洞导致的信息泄露是小事,而携程记录了很多敏感信息是大事。目前携程已经发表声明承诺支付安全、交易完成后立即删除客户的敏感信息

3月22日(周六)晚,由乌云平台曝出的携程网用户信息“漏洞门”开始在网络上发酵。

为了弥补漏洞造成的损失,携程网3月23日发表声明称,将给予93名存在潜在风险的携程用户每人500元任我行礼品卡作为补偿,并建议其更换信用卡。

3月24日,记者联系到携程网华北区公共事务部经理蒋海滨,他提到,“93名存在潜在风险的携程用户是被乌云“猪猪侠”下载了数据的用户。”

不过,在此事件的处理中,携程网有避重就轻之嫌。近日有消费者爆料称,在此次“漏洞门”之前,自己的携程信用卡已遭盗刷。市场质疑,泄露数据的用户只有93个,还是有93万个, 目前不得而知。

同时,值得玩味的是,携程网在最新声明中承诺支付安全、交易完成后立即删除客户的敏感信息,将严格按照监管部门的要求完善支付流程。这在其3月23日的声明中是未曾提到的。

事实上,这次事件牵涉到两个问题:产生“漏洞”是安全问题,而“记录用户信息”则是企业的“道德”问题。携程网在最新声明中承诺删除客户敏感信息,表明其已变相承认此前不删除用户敏感信息,在法规面前,携程网已经“屈服”。

“漏洞门”之外客户爆料被盗刷

3月22日,记者发现在微信朋友圈和微博上,大家正在讨论是否更换信用卡的问题。

事实上,在被曝出“漏洞门”之前,携程网就被用户举报出现盗刷情况。记者从网上看到一则例子,微博实名认证为广西易搜科技有限公司CEO的严茂军在微博上指出,“早在2月25日就致电过携程,我绑定携程的几张信用卡被盗刷十几笔外币交易。”严先生有6张信用卡,绑定携程的3张卡全部出现问题,未绑定的则安全正常。

携程发表的声明中称,93名潜在风险用户没有出现盗刷情况。但严茂军的经历却表明在93人之外,携程客户的信用卡曾被盗刷。

携程网在美国纳斯达克上市,作为目前国内最大的旅游类网站,拥有数量庞大的用户群。公司2013年营业收入为54亿元、净利润为9.98亿元,相比2012年分别增长了30%和40%。

携程网数据是否“泄密”引发激烈讨论。对此,记者采访到安全宝联合产品副总裁、前阿里巴巴集团高级安全专家吴翰清。

“3月22日晚开始在网络媒体上热炒的携程 ‘漏洞门,其实就是白帽子发现了漏洞通知厂商进行处理。” 吴翰清解释,“乌云其实就是一个第三方漏洞报告平台,本着负责任地披露漏洞过程的精神,收集白帽子们(在网络安全行业,做坏事的黑客被称为‘黑帽子,他们将漏洞用来牟利。‘白帽子都是不愿意利用漏洞做坏事的人,所以他们选择了将漏洞公开)发现的漏洞,并报告给厂商,事后会披露漏洞细节。之所以要披露漏洞细节是为了让普通用户了解到漏洞的危害,并能以此评估对自己的影响。”

携程在3月23日的公告中称:经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。携程客服于3月23日已全数通知相关用户更换信用卡,并给予这93名用户每人500元任我行礼品卡作为补偿。

对于“500元任我行礼品卡”的补偿,蒋海滨解释:“此次携程网的漏洞并没有对用户造成实际损失,500元礼品卡的作用是给这93位用户压压惊。”

记录用户数据涉嫌违法

“因为技术漏洞导致的信息泄露是小事情,而携程记录了很多敏感信息是大事情。这件事情的影响就像当年CSDN(一家知名程序员网站)明文记录用户密码一样恶劣。”吴翰清指出了此次携程“漏洞门”中的最大问题,也是最值得大家关注的问题。

“携程可能出于一些业务需要记录了用户的信用卡信息,但大多数用户对此是不知情的。而根据一些安全标准(比如PCI DSS标准,第三方支付行业数据安全标准),携程是不应该有这样的行为的。因此携程需要重新梳理自己的安全规范,并加大对安全的投入。因为其获得了用户的敏感信息,就有义务保护好。” 吴翰清解释。

人们通过携程网预订时最常用的就是信用卡快捷支付,即通过携程网站或客服将自己的信用卡卡号、有效期、用户名和CVV码输入,携程再通过这些信息实现信用卡的快捷付款。

实际生活中,不仅携程,绝大多数国外网站的信用卡付款都是仅需提供卡号、有效期、用户名和CVV码就能实现在线支付,因此这些信息对于持卡人的重要性和安全性可见一斑。

对此,蒋海滨解释:“携程网记录用户的数据都是经过用户同意的。”对于蒋海滨的这种解释,记者咨询了相关人士。

知道创宇研究部总监余弦认为,“携程记录用户信用卡隐私信息这个行为是错误的,这个毋庸置疑。”

“这就像所有网站用户注册或桌面软件安装时会弹出的‘免责条款一样,99.9%的用户是不会去关注的。”吴翰清向记者解释。

据央视报道,央行明确表态,即使没有这次漏洞事件,携程也已经涉嫌违法。央行去年颁发的《银行卡收单业务管理办法》明确规定,不允许商户留存用户的姓名、身份证号、银行卡号、CVV码等信息。

中国银联风险管理委员会《银联卡收单机构账户信息安全管理标准》要求,“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。”

因为记录用户敏感信息,携程网受到的声讨不绝于耳。

汽车之家创始人李想在微博上表示,“交易网站存CVV码,相当于小时工偷偷配了你家钥匙,同时,他还知道关于你家所有的信息。”

对这个敏感而又重要的问题,携程方面应该知道是有问题的,否则不会在近日“屈服”。

进入携程网的首页,最明显的是挂在公司Logo旁边的“携程声明”。其中写道,“携程网承诺支付安全、交易完成后立即删除客户的敏感信息,将严格按照监管部门的要求完善支付流程。”值得一提的是,这一点在其3月23日的声明中是没有提到的。

3月27日,蒋海滨发给记者最新版的携程声明中也明确说明,“携程网将在交易完成后删除客户的CVV信息,不再保存。以前保存的那些CVV信息,正在予以删除。”

大数据时代须防信息泄露

携程网的“漏洞门”只是互联网安全问题暴露出来的冰山一角,在大数据时代会对隐私安全形成空前的挑战,每个大型互联网公司几乎都拥有海量的用户数据,一旦发生敏感信息泄露,结果几乎是无法想象的。

互联网公司记录保存用户的信息有哪些用途?TMT行业独立分析师龙真称:“最简单的用途是推送垃圾邮件和短信。记录用户信息这种行为,是互联网公司‘最基本的行为。”

“互联网上随时可能记录你的一些东西。从某种角度来说,隐私就是互联网的基础!”余弦也如此说。

安全宝的CEO马杰向记者表示,如何保护自身的信息安全确实是个难题。不过他自己常用的几个简单方法可以和大家分享。第一招,自身密码的分级,按承受风险的高低来设置。第二招,定期对密码进行变更。

吴翰清指出:“首先,尽量只上信誉比较好的大网站,他们的安全相对做得比较好。少上一些不正规的网站,尤其是不要点击陌生人发来的文件,或者安装一些带有诱惑性导向的客户端软件。其次,尽可能不要在网上填写真实的个人信息,比如姓名、住址等。最后,核心的几个互联网服务(比如支付宝、邮箱、QQ等)用一组密码,非核心的服务(比如论坛、视频网站等)用另一组密码。这样某些小网站发生数据泄露时,也不会危害到核心的互联网服务。”

对于用户信息的保护,记者3月26日致电招商银行信用卡服务中心,一位工作人员告诉记者:“目前确实有用户因为携程的原因,提出了换卡要求。”他特别提到,“招行和携程网交易的数据传输是专线连接模式。招行是不向第三方提交CVV码的,这也是为了提防客户的信息留存在第三方。而携程是记录不到招行信用卡用户的个人CVV码,这次事件对招行的影响应该是最小的。”

猜你喜欢

携程漏洞信用卡
漏洞在哪里
招商银行:招行两大APP支持信用卡免费还款
侦探推理游戏(二)
携程被批“捆绑销售”公司紧急整改
携程被批“捆绑销售”公司紧急整改
携程被批“捆绑销售” 公司紧急整改
信用卡资深用户
漏洞在哪儿
注意!有些信用卡不激活也收费
视频、Office漏洞相继爆发