|
羊城晚报讯 记者黄璨、刘薇报道:22日,乌云(Woo Yun)漏洞平台发布消息称携程出现系统漏洞,持卡人姓名、身份证、银行卡号、卡VCC码、6位卡Bin(用于支付的6位数字)等关键信息或泄露。昨日下午,携程方面表示,在技术调试过程中,出现了短时漏洞。技术开发人员之前为了排查系统疑问,留下了临时日志,因疏忽未及时删除。
目前,这些信息已被全部删除。经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。携程客服已通知相关用户更换信用卡。
93名用户存潜在风险
22日晚,乌云网公布携程系统存在漏洞,将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取。对此,携程立即展开技术排查,并在2小时内修复了这个漏洞。
虽然漏洞已被排查,携程此前也表示,该漏洞仅影响21-22日两天的部分交易。但不少网民仍质疑,在漏洞被发现前已存在多久,是否存在被发现前已被黑客发现并获取这些关键信息的可能性?携程告诉羊城晚报记者,此次是在技术调试过程中,出现了短时漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除。而用户信息方面,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。
携程客服昨天已经通知相关用户更换信用卡,银行方面会协助用户办理换卡手续。截至3月23日22时,没有接到携程客服换卡通知的用户,个人信息均是安全的,无需担心。经各银行反馈,截至记者截稿,没有发生携程用户信用卡被盗刷的情况。
昨天下午,漏洞发布者ringzero在该事件持续发酵后发布微博称,其已经将安全测试涉及的日志信息彻底删除,而且卡号等敏感信息有加密,携程也已经及时修复漏洞,相关信息并没有被传播。
已对93位用户给予赔偿
不少市民均对携程此次漏洞表示不满。从22日晚上至23日,曾在携程网上使用信用卡支付的部分用户选择申请换卡。“从挂失到制卡每张卡要收50元,加上与原卡绑定的一些快捷支付要解绑并重新操作,这部分损失,携程是否该赔偿?违规存储用户VCC码是否应该惩罚?”广州市民刘小姐虽然近期未在携程使用信用卡,但出于安全考虑,仍选择挂失重办。
为何携程网会违反银联相关规定,存储用户VCC码?携程告诉羊城晚报记者,携程仅在得到授权后存储了部分用户VCC码信息,并对信息进行加密管理。为了更好地保障用户及网站的安全,携程将邀请国际知名信息安全认证机构,共同保障用户的个人信息安全。
携程承诺,未来如果因安全漏洞引起用户损失,将承担全部责任并给予赔付。
目前,客服已联系上93位存在潜在风险的用户提醒其换卡,并给予他们一定赔偿。此外,部分用户绑定了借记卡,也不需要更换。
|
