携程称已通知93名疑遭信息泄露用户更换信用卡

24.03.2014  19:08

  刚过去的周末,携程经历了一次“漏洞门”事件,多名用户隐私信息被曝可能遭到泄露。虽然事后携程立刻修复了这一漏洞,但仍未打消用户隐忧。记者注意到,一些携程用户随即将关联信用卡进行了剪卡报废处理。

   事件:93名客户信息疑遭泄露

  3月22日晚间,一片“乌云”笼罩携程。一个编号为54302的漏洞报告,被曝光在互联网安全问题反馈平台乌云之上。乌云平台指出,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,其中包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。

  被曝光后,携程方面承认漏洞存在,表示其已立刻展开技术排查,并在2小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。

  排查结果显示,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。3月22日晚至23日,携程已通知存在潜在风险的93名用户更换信用卡,银行方面也会尽快协助用户办理换卡手续。此外,携程旅行网给予这93名用户每人500元任我行礼品卡作为补偿。经各银行反馈,截至目前,没有发生携程用户信用卡被盗刷的情况。

   技术专家:或因无线研发推进过快导致

  据相关技术专家透露,携程此次用户信息泄露事件,可能是无线研发推进过快而变相导致的。因为携程的安全漏洞,不是在Web网页上的漏洞导致,而是无线部门在手机APP产品调试过程中,保存了日志并在Web.config 开了目录遍历才出的状况。利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件、资源,或者采取更危险行为。

   携程:若因安全漏洞有损失将赔付

  今天上午携程网接受记者采访时回复称,没有接到携程客服换卡通知的用户,个人信息均是安全的,无需担心。为防电话诈骗,请留意携程客服联络呼出电话号码:021-51069999;021-51012299。携程承诺,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。不过,这仍未消除消费者的疑虑。记者注意到,微信朋友圈有几位朋友展示了被剪毁的银行卡,一位从事IT工作的网友表示:“虽然有漏洞不等于泄露,泄露不等于被盗刷,但信息一旦泄露被黑客存档就是持续的,黑客可以关联作案。

   律师:用户可保留证据索赔

  虽然携程方面承诺对“未来”负责,但仍有一些网友表示担心:在线支付如果被盗卡,发生实际损失时如何证明与商家漏洞有关,又如何维权?

  威诺律师事务所主任杨兆全上午接受本报记者采访时指出,携程记录用户CVV码等信息已经是对用户侵权。根据中国银联支付结算规则,商家不得记录和保存客户信用卡CVV号等敏感信息,但一些商家并未执行这个规定。保存这些信息,会存在内部人员盗取以及外部黑客攻击风险。

  另外,杨兆全律师指出,携程称用户发生损失全赔,就是一种承诺,具有法律效力。如果用户发生损失,法律会根据消费者损失是否与携程数据泄露时间上相关性进行确定,技术上没有障碍。如果消费者发生在线支付被盗卡,应该及时向公安机关报案并向发卡银行报告,并提供和保存证据。如果与网站有关,可要求索赔。(记者孟环 傅洋)