携程网支付漏洞大起底

2021-11-25 07:48

——如何有效保护个人信息?

本刊记者 李婷

互联网已深入到社会的各个角落。改变着人们的生活、学习、工作方式、消费习惯等。互联网,让人们足不出户,便可知晓天下事,买到想要的东西,看到想要见到的人,可满足不同人群的不同需求。但是,却又不得不面对这样一个事实:互联网在给人们生活、工作带来便利的同时,也给用户个人信息的安全问题带来了隐患。

临时日志未删 携程网现“支付漏洞”

今年3月22日,“乌云”网站漏洞报告平台发布公告,称在线票务服务公司携程网存在支付漏洞,在携程网用信用卡支付,顾客姓名、身份证信息 、银行卡卡号、CVV2码等信息都会被保存在携程网本地服务器,且有可能被泄露,给客户信用卡盗刷埋下隐患。(乌云是一个位于厂商和安全研究者之间的安全问题反馈平台,此前多次发布国内企业信息系统的技术漏洞,推动企业进行漏洞修复。)

对此,携程方面表示,在得知该消息后,公司即展开了技术排查并在消息发布两个小时内修复问题。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。

据了解,各个互联网公司在处理用户的交易时,都需要用户提交个人支付信息,但需要对信息加密以保证安全。存有这些信息的交易日志,会短期停留于公司系统中,在处理完相关交易后,系统会删除这些信息。如果开发人员需要调取测试等,他们看到的数据也是加密过的,并不是直接看到用户姓名、卡号、密码等。

无独有偶,类似携程的泄密事件绝非个例。2012年CSDN事件在前,两年后携程事件历史再现。只不过CSDN被泄密的部分是历史数据库,不是金融数据;此次携程泄密的是正在支付的数据,是用户的银行卡信息。所以,携程泄密的后果可能比CSDN泄密事件的后果要严重金螳螂设计

疑信息泄露 信用卡被盗刷

由于个人信息遭泄露,记者的朋友赵先生险些就被骗子骗走了不少钱。在愤愤不满之余,赵先生更气愤的是泄露他个人信息的公司。

那么,到底是谁泄露了他的个人信息?

今年6月份,赵先生通过网络平台购买了东方航空(600115,股吧)由昆明飞往上海的机票。就在航班起飞前一天,赵先生便收到了以“东航”名义发送的短信,称其将要乘坐的航班由于飞机的原因,导致飞机不能正常起飞,并要求赵先生办理退票或者改签。

短信内容中,赵先生的所有信息全都准确无误,包括旅客的姓名、乘机日期、航班号、出发地、目的地、手机号,并且在短信的最后附上一个办理客服的“400”开头的电话,以及落款“东航”。

由于短信上所有的信息都准确无误,赵先生差点信以为真。但是经常出差的赵先生并没有立即拨打短信上的电话,而是拨打了东航的客服热线,工作人员告诉赵先生,航班正常起飞。

虽然是乌龙事件一桩,但是赵先生仍气愤的在朋友圈里发了个心情:“嚓,神莫情况?”并配上了短信内容,以表气愤。

让赵先生感到意外的是,信息在朋友圈内一经发出才知道,原来自己的朋友张小姐身上也真真切切发生过这类事情,并且信用卡被盗刷了5000元。

记者联系上张小姐后,她告诉记者,她老公的信用卡信息疑遭携程网泄露,被盗刷5000元。然而,当她选择报警却被拒,因为当地警方根据属地管辖原则要求报警人向户口所在派出所报警。

同时,张小姐在第一时间也告知了携程网,携程方面给的回复是先让张小姐等消息。然而,就在张小姐犹豫要不要再次致电携程网,并要求其在24小时内必须给到回复,否则将报警、向消协投诉、向媒体投诉之时,携程网已经将盗用人购买的机票按退票处理了。

张小姐说:“因为,盗用她老公信用卡的人,在携程上购买了两张机票,并且留下了自己的姓名、身份证号码以及联系电话。”最后,张小姐选择了息事宁人,并没有再给携程打电话,损失了1000多元的退票费。

但是,对于客户的账户被盗刷,是否因为系统漏洞?钱江晚报记者曾联系了携程旅行网。携程旅行网杭州分公司市场传播部的徐经理表示,至于如何被盗刷,经过信息安全部的确认,是因为密码泄露导致,并不是因为系统漏洞。

他介绍说,要盗取账户里的资金,对方需要知道登录密码以及支付密码,很可能不法分子通过一定手段掌握了账户的两个密码。

那如果账户发生盗刷,携程网是否有相应机制可以制止呢?

徐经理表示,对于盗刷行为,网站其实设有预警机制。一旦某个账户出现IP地址异常、购买大量可变现产品或者出现与客户消费习惯不一致的情况,后台就会有客服人员联系客户进行提醒。

“有了这个预警机制,如果确认账户确实被盗刷,我们就可以及时终止交易挽回损失。”徐经理承认,这套预警机制确实没有发挥作用。

携程未经过PCIDSS认证 所以不安全?

在漏洞门之后,“PCIDSS”认证成为舆论热词,众多网友和媒体质疑携程,并没有经过“PCIDSS”认证,意味着携程不安全。

据安全审核机构atsec中国总经理刘岩介绍,“PCIDSS”,中文全称为支付卡产业数据安全标准。它是由PCI安全标准委员会的创始成员(visa、mastercard等五大国际卡组织)制定并维护的一套保护持卡人数据的技术和操作的基本安全要求措施。通过审核并持续维护PCIDSS标准的合规,可以有效降低网站发生数据泄露的风险,保护支付数据的存储和传输安全。据悉,去哪儿网是目前国内唯一一家通过该认证的旅游预订平台。

但也有人质疑PCI的安全性,比如,国外两家零售商Target和NeimanMarcus都是PCIDSS标准的合规企业,但都遭遇过黑客入侵,导致信息泄露。

对此,一位专业技术人员表示,即使通过PCIDSS认证也做不到100%的绝对安全,“但至少体现了一种态度”。

信用卡被盗刷用户能否获赔?

如果用户信息泄露,企业负有赔偿责任。但是损失需要用户出具证明。因此武汉盈科律师事务所的彭功平律师提醒道,一旦出现盗刷情况,用户要自己保存证据并及时与网络服务商联系。

彭功平称,我国现行的《侵权责任法》,2012年全国人大通过的《加强网络信息保护的决定》以及今年“3?15”刚刚开始施行的《消费者权益保护法(修订案)》等,均对网络用户个人敏感信息的保护做出了规定。对此,网络服务提供商必须采取充足的技术措施对用户信息予以保护,包括身份证号码、支付信息等。出售、非法提供、非法窃取个人信息属于犯罪行为。如果携程并不是故意存储,并不属于上述行为,也应该承担未能充分保护用户信息的民事责任寒假招生

如何才能有效保护个人信息?

彭功平律师告诉记者,目前我国关于个人网络信息保护的法律法规并不完善,网民网上交易时应当谨慎小心。并给出了三点建议。

首先,不要将自己的全部信息填入用户账号设置中,即使大的电子邮件网站也要警惕并养成对重要数据和文件备份的好习惯,防患于未然。不浏览不健康的网站,也不要为跟随潮流去“裸奔”,以免让计算机遭受木马入侵和染上病毒,致使个人信息丢失和泄露。

其次,在购物上,要学会如何区分虚假信息,例如网上大肆叫卖却没有实物图和详细的物品信息的一定要谨慎,选择商业信誉好、经营规模大、商业信用度高、网民普遍评价优的卖家,这样会把交易风险降到最低。

最后就是保持“谨慎原则”和“保密原则”。在汇款和交易之前,谨慎是必要的,不能为了贪小便宜而失大利;对自己的银行帐号、密码等注意保密。还有一点值得提醒的是,密码应妥善保管,并经常更改。避免使用公共场所的电脑、避免共享个人笔记本电脑中的数据、及时升级杀毒软件将大大减少泄密的机率。

(王钠 HN025)
相关阅读
看一看--鹿晗怒吼黄牛私生饭跟车 理性追星再度引起热议

当前位置: 看点网 > 新闻资讯 > 文娱8卦 > 正文鹿晗咆哮黄牛私生饭跟车 理性追星再度引发热议来源:看点网时间:2016-06⑶0 08:25:56 看点网讯 文/公子伊近日,鹿晗在横店拍摄电视剧《择天记》期间再度被有组织有预谋的3辆

2021-11-29 18:15
看一看:领英大数据:从职场新人到总监要多久?

【逐日科技网】近日,全球最大的职业社交网站LinkedIn(领英)推出首份中国总监提升报告。本次报告对中国地区具有200名员工以上的公司总监进行研究,从不同行业、学历、人脉、技能等角度分析1位职场人士重新人提升到总监的影

2021-11-29 17:39
看一看:内蒙古自治区出台多项举措力推众创空间发展

【逐日科技网】 记者了解到,内蒙古自治区人民政府办公厅印发《关于加快发展众创空间的实行意见》,要求内蒙古各地区、各有关部门应调解优化科技专项资金结构,安排众创空间发展资金,采取主导建设、联合建设、运行补

2021-11-29 17:29
机械网--真空镀铝薄膜介绍(上)

1、概述真空蒸镀金属薄膜是在高真空(10-4mba以上)条件下,以电阻、高频或电子束加热使金属熔融气化,在薄膜基材的表面附着而构成复合薄膜的1种工艺。被镀金属材料可以是金、银、铜、锌、铬、铝等,其中用的最多的是铝

2021-11-29 13:38
看一看:USDA:五月份第三周美国没有对中国大陆装运大豆

华盛顿5月26日消息:美国农业部发布的出口检验周报显示,截至2015年5月21日的1周,美国没有对中国(大陆地区)装运大豆,前1周是装运343吨大豆免费咨询离婚律师...华盛顿5月26日消息:美国农业部发布的出口检验周报显示,截

2021-11-29 11:11
最好16日南京市场氧化铁皮价格行情QA

16日南京市场氧化铁皮价格行情您当前位置:首页 价格行情16日南京 3相干产品已稳定供货给吉祥、通用等多家汽车厂商. 钳口质量低劣由于用到聚氨酯材料的枕头、床垫等厂商市场氧化铁皮价格行情16能在完全1体化的自动化工艺

2021-11-29 08:32