直通屏山 | 福建 | 时评 | 大学城 | 台海 | 娱乐 | 体育 | 国内 | 国际 | 专题 | 网事 | 福州 | 厦门 | 莆田 | 泉州 | 漳州 | 龙岩 | 宁德 | 南平 | 三明
您所在的位置:东南网>国内>科技> 正文

携程被曝支付漏洞 违规存用户银行卡信息遭质疑

2014-03-24 07:12 来源:中国新闻网责任编辑:陈玮我来说两句
分享到:

中新网3月24日电(IT频道吴涛)22日,乌云漏洞平台发布消息称,携程旅行网支付日志存在漏洞,或导致大量用户银行卡信息泄露。携程随后确认存在这一漏洞,并发声明表示,有93名用户存在安全风险。虽然携程表示漏洞已经修复,但这一安全事件仍引发诸多质疑。有专家表示,携程保存客户银行卡信息属于违反银联的规定。

携程存储用户银行卡信息 被指违反银联规定

据了解,此次携程漏洞可使包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin泄露。据了解,CVV即 Card Verification Value,是由卡号、有效期和服务约束代码生成3位或4位数字,一般写在卡片磁条2磁道用户自定义数据区里面。无需密码支付的方式也叫信用卡“离线交易”,仅凭卡号、CVV码等信息即可完成支付。专家提醒,CVV安全码相当于信用卡“第二密码”,需妥善保管。

针对携程此次漏洞,新浪微博认证为“MediaV CTO,原Google技术总监”胡宁称,用户信用卡信息泄露,并非犯低级技术错误这么简单,“敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理、服务器安全性要达标,这都是常识”。

金山毒霸安全专家李铁军接受中新网IT频道采访时称,从目前携程和乌云公布的资料来看,携程用户隐私的泄露过程还并不能完全肯定,但是结果造成的用户安全风险是非常大的。“除了被盗刷的可能,了解用户这些信息后还可以创建第三方支付账号,绑定信用卡实现境外购物。”据了解,信用卡有一种支付功能为离线支付,这种支付方式只要知道了用户的基本信息和CVV代码后就可以实现支付。

据多家媒体报道,此次漏洞在于携程记录了用户的CVV代码,上海鼎力律师事务所孙建中律师表示,携程保存客户信息属于违反银联的规定,从《消费者权益保护法》看,其技术手段未尽到保护消费者的义务。财新传媒总编辑胡舒立也直接指出,携程不是第三方支付机构,无权保留银行卡信息。

另一方面,PCI-DSS(第三方支付行业数据安全标准)规定了不允许存储CVV,但携程支付页面称通过了PCI认证,同样令人费解。

打印|收藏|发给好友【字号
心情版
相关评论
今日热词
更多>>福建今日重点
更多>>国际国内热点
关于我们| 广告服务| 网站地图| 网站公告|
国新办发函[2001]232号 闽ICP备案号( 闽ICP备05022042号) 互联网新闻信息服务许可证 编号:35120170001 网络文化经营许可证 闽网文〔2019〕3630-217号
信息网络传播视听节目许可(互联网视听节目服务/移动互联网视听节目服务)证号:1310572 广播电视节目制作经营许可证(闽)字第085号
网络出版服务许可证 (署)网出证(闽)字第018号 增值电信业务经营许可证 闽B2-20100029 互联网药品信息服务(闽)-经营性-2015-0001
福建日报报业集团拥有东南网采编人员所创作作品之版权,未经报业集团书面授权,不得转载、摘编或以其他方式使用和传播
职业道德监督、违法和不良信息举报电话: 0591-87095403(工作日9:00-12:00、15:00-18:00)举报邮箱: jubao@fjsen.com福建省新闻道德委举报电话: 0591-87275327