“携程安全裂缝：客户忧信用卡验证码外泄”

本篇文章2752字，读完约7分钟

经记者夏冰、杨珏轩、陶力发源于上海、广州

3月22日18时18分，漏洞报告平台“乌云”( wooyun )透露座位旅行支付日志存在安全漏洞。 正当之前金融业和网络金融激烈的博弈传来之际，事情也再次拷问了网络支付的安全问题。

席特里普方面就这件事给顾客带来的麻烦进行了比较并道歉。 席特里普网在回复“每日经济信息”时表示，“3月22日晚开展了技术故障诊断，并在信息发布后的两个小时内修复了问题。 93名潜在风险顾客已经被通知换卡，剩下的往返卡顾客不会被卡安全影响。 事发后，西特利普与各大银行取得联系，经核实，目前客户的信用卡也未被盗。 座椅行程郑重承诺，未来如果发生安全漏洞，导致顾客损失，座椅行程将全额赔偿。 ”

但是，事情的影响还没有平息。 根据一家银行的客户服务，薄片行程网公告上的安抚可能收效甚微。 工商银行的一位工作人员告诉记者，昨天( 3月23日)电话换卡的人很多，“我自己接了10人左右”。

是否违反了“禁止记录cvv”的规定？

乌云报告显示，漏洞泄露的新闻包括:客户持卡人姓名、身份证号码、银行卡类型、银行卡号、银行卡cvv码(卡号、有效期限和服务约束码比较生成的3位或4位数字)、银行卡6位bin ( bin， 也就是说，黑客只要有这一连串的消息，就可以盗用客户账户。 的当晚，席特里普方面确认了这个“安全漏洞”的存在。

与乌云爆炸相比，质疑的声音改为“座位旅行违反了银联此前禁止cvv记录的规定”。 记者了解到，cvv即银行信用卡背后的三人，作为“无卡支付”的一环，只需要提供卡号和这三人即可完成支付。

“座位旅行在工作中有责任，信用卡的cvv代码不应该留在本地平台上。 图纸在支付过程中必须记录和传输银行接口的客户新闻，但记录会损害支付的安全性。 》旅游行业资深爱游提醒负责人郑荣锋对记者表示，相信此次事件已经影响到了座椅的企业品牌和美誉度，特别是长期以来对座椅服务有依赖性的旅游客户。

作为一个敏感的隐私泄露事件，这次事故在微博、微信等社会交流平台上发生了大量的转发传输。 特别是最近传言说，国家将对互联网金融的快速发展进行限制，这次的事情对“支付宝们”来说不是好消息。

强强咨询首席执行官魏长仁也表示:“这一定会影响客户对座椅的信任度。 因为现在几乎所有的机票、一些酒店、旅游度假和其他越来越多种类的产品都需要在线支付。 这一定会促使座椅更重视顾客的新闻安全问题。 ”

酷刑ota支付安全挑战

“在线旅游领域应该是国内最早在机票、酒店行业实现信用卡预审批的领域。 在支付宝( Alipay )和微信支付还没有流行起来的时候，座驾和艺龙作为在线旅游的代表，非常优秀地普及了用信用卡进行在线支付的模式。 许多高级商业用户采用这些服务是因为座位旅行和娱乐圈有方便的信用卡结算功能。 对这次商务旅行的受众群体有很大的影响。 ”郑荣锋指出。

在线旅游领域的老伙伴对《每日经济信息》记者表示:“事实上，ota们非常重视新闻安全，在我的注意力中，无论是去什么地方的网络，还是去娱乐圈，他们都在数据保密方面做得很好。”

“现在，薄片公司暴露了顾客(隐私)的流失，对其他电子商务平台也起到了警告作用。 ota们应该迅速自己调查，防止类似的事情再次发生，从而影响客户的权益。 ”魏长仁说。

记者了解到，近年来，随着移动互联网的飞速发展，互联网理财产品风靡一时，平板电脑、高端智能手机等移动终端设备的普及，新型移动支付行业也成为钓鱼软件、黑客等的目标之地。 根据cnnic的最新数据，2009年因互联网支付而发生安全问题的读者人数占全体互联网网民人数的4.0%，影响人数达到. 6万人。 其中，个人新闻泄露率达到42.9%，账户密码被盗率达到23.8%。

层出不穷的新诈骗、花样翻新的黑客木马折磨着互联网支付安全问题。 “创新永远伴随着风险，相关机构必须提高自身的安全技术工作； 并且希望越来越推进和普及客户的安全意识教育。 越来越多的国际知名新闻安全认证机构希望保障客户的个人新闻安全。 这个过程就像监督和检查食品安全一样。 ”华美酒店顾问有限公司首席知识管理专家赵焕焱强调。

93名客户安排了换卡

3月23日，针对平台漏洞导致的用户征信信用卡新闻流失问题，成片网发布公告，漏洞已被修复，有风险的只有93名成片客户，安排了换卡。

但是，根据银行客户服务反映的消息，薄片跳闸网公告上的安抚可能收效甚微。 工商银行的一位工作人员告诉《每日经济信息》记者，昨天电话换卡的人很多，“我自己接了10人左右。” 关于费用，工作人员说，换卡要花20元手续费，很快就可以办理。

招商银行的工作人员告诉记者，“没有必要为此换卡”，反复强调银行方面已经查清了风险，“如果确实要换的话，要付60元费用。”

一家股份制银行信用卡部的管理者崔先生告诉记者，实际上银行要完全防止信用卡新闻泄露并不容易。 “我们有专门负责监视的部门，但不能完全消除。 银行自身也需要这条新闻来完成网上交易，所以不能排除被黑客拦截和破解的可能性。 ”

银联资深风险专家王宇说:“从目前公开的情况来看，座椅行程方面可能有些缺陷。 我们积极推动相关机构严格执行相关要求。 商户和收据机构不能保留持卡人敏感的消息。 另外，还必须采取各种措施提高交易环节的新闻安全管理。 ”

大数据的安全阴影

虽然其他网站没有面临与薄片网同样的风险，但大数据时代网络新闻的安全性受到了折磨。

此前，包括当当网、亚马逊、京东商城、7天酒店在内的多家网站也出现了顾客个人新闻泄露的报告，但个人新闻比信用卡新闻明显更为严重。

根据安全专家的例子，黑客通过客户的手机号码、银行号码、cvv注册第三方支付账号，可以跳过客户和银行绑定的手机进行盗刷。 “这些数据可以用于制作和关联第三方支付，国内的第三方支付企业多达数百家，可以使用的地方很多。 受害者随时都有资金被盗的可能性。 ”

对此，座位旅行网相关人士解释说，这是座位旅行网在技术调整过程中，出现了短时间的漏洞。 “除漏洞发现者进行少量测试后下载，全部删除外，不会恶意下载相关数据，客户在薄片上的交易依然安全，客户的新闻没有受到影响。 ”

mediavcto、原谷歌技术总监胡宁表示，表单行程可能没有故意保存cvv新闻，但其数据以明文传输，并长期在线启用调试功能，因此系统日志中也会记载明文 走错一步，走错一步，说:“泄露客户的信用卡新闻，不是犯低级技术错误那么简单。 机密新闻加密存储，在线开启调试功能必须慎重，系统日志必须马上清理，服务器安全必须达到，这是常识。 ”胡宁说。

据悉，席利普已经设立了安全应急响应中心，设立了新闻安全奖励基金，奖励发现席利普漏洞的新闻安全卫士。 这也影响了当前火热的网络支付和大数据安全。