2024年11月28日 星期四

事件始末

3月22日乌云漏洞平台发布消息称,携程网用户支付信息出现漏洞,漏洞泄露的信息包括用户的姓名、身份证号码、银行卡卡号、银行卡CVV码等。

携程回应已修复该漏洞,经排查93名用户的支付信息存在潜在风险,已通知这些用户更换信用卡。经核实,目前没有出现用户信用卡被盗刷的情况。

携程对支付流程进行整改

从22日开始“发酵”的携程用户信息“漏洞门”告一段落。携程表示,将对支付流程进行整改,取消对用户信用卡CVV信息的询问和登记,不再保留任何用户的CVV记录。 [详细]

携程“漏洞门”:乌云笼罩全行业

携程网漏洞泄露用户支付消息,本来是个互联网公司的技术与安全事件,但因为事发时机凑巧,坊间有论者就将之与互联网金融相联系,称“携程漏洞门使互联网金融再添曲折”,而且,这种观点或许还真能一语中的。 [详细]

携程旅行网

1999年成立的在线旅游网站,主要经营酒店预订、机票预订、度假预订等业务,2003年在美国上市。

董事长梁建章

携程旅行网创始人之一,1969年出生于上海,博士学历,曾任美国Oracle公司中国咨询总监。

携程泄露客户信息引担忧

携程曝安全支付漏洞 用户担忧信用卡泄密急换卡

3月22日乌云漏洞平台发布消息称,携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包直接保存在本地服务器,有可能被黑客所读取。对此,携程回应称,已修复该漏洞。经核实,目前没有出现用户信用卡被盗刷的情况。 [详细]

补偿93名用户每人500元礼品卡 被指避重就轻

有网友指携程避重就轻,对违规记录CVV代码的事情只字不提。北京明朝万达科技有限公司董事长王志海微博上表示:“携程回复避重就轻,有漏洞能理解,信息不加密也可只算不重视用户隐私,重点是为什么要违规记录用户信用卡的CVV代码?这点必须正面答复。” [详细]

携程“漏洞门”到底是如何发生的

携程违法违规保存了用户信用卡CVV码?

中国黑客教父、COG信息安全组织创建人龚蔚表示,从漏洞报告来看,携程技术人员的疏忽是毋庸置疑的,但携程并非主动保存银行卡号等用户支付数据。携程犯的错在于,敏感信息需加密存储、线上开调试功能需慎重。[详细]

携程未经过PCI DSS认证,所以不安全?

在漏洞门之后,众多网友和媒体质疑携程,并没有经过“PCI DSS”认证,意味着携程不安全。通过审核并持续维护PCI DSS标准的合规,可以有效降低网站发生数据泄露的风险,保护支付数据的存储和传输安全。 [详细]

用户是否需要更换在携程上用过的卡?

众多网友表示准备换卡或者已经换卡。已经紧急换卡的携程用户高女士表示,这种低级错误说明携程没有或者内控机制无效,或者说携程对于用户的个人信息安全完全没有诚意,“不如趁早换卡同时‘换掉’携程。” [详细]

如果信用卡被盗刷用户能否获赔?

如果用户信息泄露,企业负有赔偿责任。但是损失需要用户出具证明。携程表示,未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付。但是损失需要用户出具证明,这一点不太容易做到。[详细]

乌云的“白帽子黑客”是否会利用漏洞?

据了解,乌云是一个厂商和安全研究者之间的安全问题反馈平台,此前多次发布国内企业信息系统的技术漏洞,包括CSDN、天涯、支付宝等。发报告是黑客并没有商业目的,如果想利用漏洞,不会把报告发到乌云上面。 [详细]

国内厂商信息安全保护水平普遍较低?

国内大的厂商安全性都很高,但也有较小的厂商让人担心。龚蔚表示,国内大的厂商安全性都很高,但也有较小的厂商让人担心。现在应该做的,是加强对已有的信息安全标准的落实,这方面的监管还是欠缺,不够严格。 [详细]

业内曝旅游网站更宽松

旅游产品支付手段较“宽松”

乌云曝出的携程支付漏洞事件让不少人非常诧异:携程为什么要保存信用卡的CVV码?记者调查发现,这跟旅游产品预订的特性有关。
为了优化消费者的体验,对于在线旅游网站而言,将消费者的姓名、身份证、信用卡号、CVV码等储存起来,在这种情况下预订反应机制会更灵活,后台系统访问相关数据库回转机制的频率比买实体商品要高。[详细]

第三方支付也存储用户信息

从技术上看,旅游产品支付条件“更宽松”,预订旅游产品是不是比普通网购更不安全?一位资深技术人士告诉记者,事实上,包括第三方支付平台也会将消费者的相关数据储存起来。正规的网购平台储存数据后会进行加密,之后数据进入一个密封的管道中,只有和银行对账时,相关数据才会解密。[详细]

建议

不要在不信任网站填写核心信息

作为消费者,在选择购买支付网站、填写个人信息时一定要谨慎。“当提交含有身份证号、银行卡号等核心个人信息时,不要提交给不信任的网站。一般来说,知名的大网站技术相对成熟,不会出现黑客在网站中直接加入代码,获取用户信息的现象。而诸如小的代购网站,安全性就降低很多。”[详细]

监管部门需强力介入

公开信息显示,到事发为止所有的调查和损失认定工作均由携程网一方进行。业内分析人士坦言,目前国内还没有相关立法对第三方支付机构获取用户信息进行规范管理。[详细]

盘点近年中国互联网泄密事件

2011年12月 CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。
2013年6月 漏洞报告平台乌云发布的漏洞报告中披露,搜狗输入法出现漏洞导致大量用户敏感信息泄露。
2013年10月 如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。
2013年10月 圆通速递被曝其近百万条快递单个人信息不仅可在网络上购买到,单号数据信息还能24小时刷新。
2013年12月 春运期间新版中国铁路客户服务中心12306网站上线第一天,被发现存在漏洞。该漏洞泄露用户信息,可查询登录名、邮箱、姓名、身份证以及电话等隐私信息。
2014年3月 漏洞报告平台乌云网公布了“携程安全支付日历导致用户银行卡信息泄露”的相关信息,该信息加密级别并不够高,可以被黑客轻易获取。
出品:中国网科技频道 策划制作:汤婧 出品时间:2014年3月