信息可能被黑客读取
该漏洞发现者称,由于该漏洞存在,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV2码、6位卡Bin等。据悉,该漏洞之所以存在,是因为携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来,同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意黑客读取。
对此,携程方面在昨晚10时半左右通过官方微博回应称:其相关部门已在第一时间展开技术排查并在消息发布两个小时内进行了漏洞弥补工作,目前尚未发现用户受到该漏洞的影响而造成相应财产损失。同时表示将重奖漏洞信息发现者,后续如有新进展还将持续通报。
携程无权存储CVV2码
网上平台有权保留消费者信用卡的详细信息吗?据业内人士介绍,信用卡信息主要包含卡号、有效期、CVV2码等,其中打印在卡片签名区的3位CVV2码又被称作“第二密码”,掌握着该卡的交易授权,即只要提供正确的CVV2码,就能完成支付环节。记者在中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》中看到规定:各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。
另有分析认为,此次漏洞问题将对携程的品牌有所影响。晚间,部分微博网友就表示,将因此与携程“告别”,也有网友建议,使用信用卡在携程上进行过支付的消费者,应该立刻更换信用卡。 本报记者 胡晓晶
