93人被通知换信用卡 携程被曝网络支付有漏洞

业界颇具影响力的乌云漏洞平台22日晚间发布消息称，携程系统存技术漏洞，可导致用户个人信息、银行卡等泄漏。昨日，携程方面对此做出首次回应，承认并对“支付漏洞”一事致歉。近段时间，被央行套上“紧箍咒”的网络支付行业噩耗接踵而至，此次“漏洞门”事件更是雪上加霜，令整个行业陷入了安全疑云。 “漏洞门”或致用户支付信息泄漏 事情的起源发生在本月22日晚间，一则来自漏洞平台“乌云”的监测报告，根据乌云的描述，“该漏洞来自于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器未做较严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。” 由于乌云的描述大部分采用技术性语言，记者随后从专业人士处了解到，这则描述最核心的内容是“所有支付过程中的调试信息可被任意骇客读取”，换而言之，携程的信用卡数据并不是指所有历史数据被拖库的风险，而是只有正在支付的数据，才有被盗取的可能。据该专业人士估计，从该漏洞产生至3月22日晚上11点左右，携程反馈已经修复漏洞后，这一时间段内在携程支付过的信用卡或存在风险。而这一时间段的具体日期数目前还不能完全确定，据携程方面公布的是21日、22日这两天，但该专业人士称其得到内部信源给出的天数初步看来在一周以内。 记者了解到，乌云描述中所提到的携程保存的用户安全日志包含的信息为：持卡人姓名、持卡人身份证、所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）、所持银行卡卡号、所持银行卡CVV码以及所持银行卡6位Bin（用于支付的6位数字）。 93名潜在风险用户已被通知换卡 如若上述用户安全日志遭泄漏，那么将导致用户的信用卡被盗取。对此，携程官方于22日晚间确认了这一漏洞信息，并称已经在漏洞发布两小时内修复了该问题。而根据携程的回应，可能受到该漏洞影响的为3月21日与3月22日的部分交易客户，并表示如果有用户因为该漏洞造成财产损失，携程将赔偿损失。 记者昨日致电携程相关人士了解情况，该相关人士承认漏洞问题确实存在，并表示经查原因是携程内部的技术开发人员之前为了排查系统疑问，留下了临时 日志，因疏忽未及时删除，目前，这些信息已被全部删除。 “仅漏洞发现人做了测试下载，内容含有极少量加密卡号信息，共涉及93名存在潜在风险的携程用户。”该相关人士告诉记者，截至目前未发现有日志泄漏情况，而其中涉及的93名潜在风险用户，携程客服已于3月23日通知相关用户更换信用卡，银行方面也会尽快协助用户办理换卡手续。 银行建议风险用户暂时冻结 由于此次“漏洞门”所爆出的信息过于专业，而携程方面给到用户的解释也并不令人信服，因此用户坐实了“携程上用过的信用卡都不安全了”的想法。对此，记者昨日致电各大与携程有合作的银行信用卡中心咨询这一问题，银行方面给出的意见几乎统一：建议存在隐患的风险用户暂时冻结相关信用卡。 招商银行信用卡中心客服告诉记者，从22日开始，已接到大量前去咨询携程“漏洞门”事件的用户电话，大部分用户都想申请挂失，而据该客服透露，针对这一现象，刚开始银行方面推出了快捷换卡，核对重要信息后电话银行几分钟内实现人工换卡，不需要挂失等流程，而从昨日起，信用卡中心会向致电用户咨询是否近期内在携程使用过信用卡，如若使用过则建议用户可以选择挂失。“目前得到的情况是，在本月21日、22 日两天内在携程使用过信用卡的用户存在风险，如若在这期间没有使用过，那么不受到影响。” 该客服还表示，如果用户仍不放心，则可选择暂时冻结账户。此外，记者致电中国银行、广发等银行信用卡中心客服，得到的回复基本相同。有建行信用卡用户反应，因为携程事件于昨日早上拨打400客服申请2张信用卡的冻结和换卡，下午客服就致电告知已经完成受理，周二下午新卡就能出卡。 据了解，用户在携程绑定信用卡后，初次使用需要提供信用卡卡种、卡号、有效期、CVV2码（即信用卡验证码）等一系列完整信息，但第二次在携程网使用同一张信用卡时，只需提供卡号后四位及CVV2码就可以完成支付操作。尽管携程方面表示，如若用户因漏洞事件造成损失，那么其将承担赔偿，但如若用户信用被盗刷并不发生在携程，那么这笔损失谁来承担？对此，携程方面并未给记者一个正面答复。 用户恐慌情绪尚未平息 记者了解到，除了携程给出的已通知93位风险用户换卡，目前用户自发挂失或换卡行为所需要的手续费都需用户自行承担。而据各大银行客服透露，暂时也未接到携程方面就此事的应对措施通知。 那么究竟已在携程开通或使用银行信用卡的用户是否会因此次漏洞而受到影响，携程方面给予的解释是：仅漏洞发 现人做出了测试下载，还未发现有骇客盗取或是日志被下载的纪录。但显然，携程的这一说法并未抚平用户的不安情绪，记者从微博、微信，以及银行客服方面得到的反馈是，目前用户的情绪仍然很激动，掀起了一股冻结、换卡、挂失潮。 某银行高管也在其朋友圈发起了这样一份担忧，“怕就怕漏洞现在出在携程，半年一年后再出盗刷事件，客户不知原委，板子打在银行身上。”他表示，犯罪分子短期内是不会动用这些客户信息进行盗刷的，半年一年后就难保了。 然而幸运的是，经各银行信用卡中心客服证实，截至记者截稿前，没有发生携程用户信用卡被盗刷的情况。 网络支付安全“步步惊心” 随着科技不断进步，现如今网购、缴费、还信用卡等日常消费，都能通过网络、手机支付，但支付宝信息泄漏、携程“漏洞门”事件的不断上演，也让网络支付时代蒙上了“风险”的阴影。支付宝公关总监陈亮在携程“漏洞门”事发后所说的“这个事情针对的是整个互联网，谁都无法独善其身”，也表明网络支付的处境“步步惊心”，而安全成为这一行业一直以来遭诟病的主要问题。 参考携程“漏洞门”事件可以发现，网络支付平台的个人信息已成为影响网络购物安全最危险的因素之一，给网购客户群的人身及财产安全造成巨大威胁。此前有安全专家指出，面对如此棘手的网络支付信息安全问题，除了做好事先了解扣款流程、设置尽量复杂的密码等预防措施外，对于平台方而言，使用功能强大的加密技术对数据本源进行全方位的防护也一定是必不可少的。而消费者在潇洒解囊“喜刷刷”的同时，也要主动出击，捍卫自己的支付安全。